Tingkatkan akses untuk mengelola semua langganan Azure dan grup manajemen

Sebagai Administrator Global di ID Microsoft Entra, Anda mungkin tidak memiliki akses ke semua langganan dan grup manajemen di penyewa Anda. Artikel ini menjelaskan cara-cara untuk meningkatkan akses Anda ke semua langganan dan grup manajemen.

Catatan

Untuk informasi tentang melihat atau menghapus data pribadi, lihat Permintaan Subjek Data Umum untuk GDPR, Permintaan Subjek Data Azure untuk GDPR, atau Permintaan Subjek Data Windows untuk GDPR, tergantung pada area dan kebutuhan spesifik Anda. Untuk informasi selengkapnya tentang GDPR, lihat bagian GDPR di Microsoft Trust Center dan bagian GDPR dari portal Service Trust.

Mengapa Anda perlu meningkatkan akses Anda?

Jika Anda adalah Administrator Global, mungkin ada kalanya Anda ingin melakukan tindakan berikut:

• Mendapatkan kembali akses ke grup langganan atau manajemen Azure saat pengguna kehilangan akses
• Memberi pengguna lain atau diri Anda akses ke langganan atau grup manajemen Azure
• Melihat semua langganan atau grup manajemen Azure dalam organisasi
• Mengizinkan aplikasi otomatisasi (seperti aplikasi faktur atau audit) untuk mengakses semua langganan atau grup manajemen Azure

Bagaimana cara kerja akses yang ditingkatkan?

Sumber daya Microsoft Entra ID dan Azure diamankan secara independen satu sama lain. Artinya, penetapan peran Microsoft Entra tidak memberikan akses ke sumber daya Azure, dan penetapan peran Azure tidak memberikan akses ke Microsoft Entra ID. Namun, jika Anda adalah Administrator Global di ID Microsoft Entra, Anda dapat menetapkan sendiri akses ke semua langganan Azure dan grup manajemen di penyewa Anda. Gunakan kemampuan ini jika Anda tidak memiliki akses ke sumber daya langganan Azure, seperti komputer virtual atau akun penyimpanan, dan Anda ingin menggunakan hak istimewa Administrator Global Anda untuk mendapatkan akses ke sumber daya tersebut.

Saat meningkatkan akses, Anda diberi peran Administrator Akses Pengguna di Azure pada cakupan root (/). Ini memungkinkan Anda untuk melihat semua sumber daya dan menetapkan akses di langganan atau grup manajemen apa pun di penyewa. Penetapan peran Administrator Akses Pengguna dapat dihapus menggunakan Azure PowerShell, Azure CLI, atau REST API.

Anda harus menghapus akses yang ditingkatkan ini setelah Anda membuat perubahan yang perlu Anda lakukan pada lingkup root.

Lakukan langkah-langkah pada cakupan root

Portal Azure

Langkah 1: Meningkatkan akses untuk Administrator Global

Ikuti langkah-langkah ini untuk meningkatkan akses untuk Administrator Global menggunakan portal Microsoft Azure.

1. Masuk ke portal Azure sebagai Administrator Global.

   Jika Anda menggunakan Microsoft Entra Privileged Identity Management, aktifkan penetapan peran Administrator Global Anda.

2. Telusuri ke Microsoft Entra ID>Kelola>Properti.

   

3. Di bawah Manajemen akses untuk sumber daya Azure, atur tombol ke Ya.

   

   Saat Anda mengatur pengalih ke Ya, Anda diberi peran Administrator Akses Pengguna di Azure RBAC pada lingkup root (/). Ini memberi Anda izin untuk menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan penyewa Microsoft Entra ini. Tombol ini hanya tersedia untuk pengguna yang diberi peran Administrator Global di ID Microsoft Entra.

   Saat Anda mengatur pengalih ke Tidak, peran Administrator Akses Pengguna di Azure RBAC dihapus dari akun pengguna Anda. Anda tidak dapat lagi menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan penyewa Microsoft Entra ini. Anda hanya bisa menampilkan dan mengelola langganan Azure dan grup manajemen yang telah Anda akses.

   Catatan

   Jika Anda menggunakan Manajemen Identitas Istimewa, menonaktifkan penetapan peran Anda tidak mengubah pengalih Manajemen akses untuk sumber daya Azure ke Tidak. Untuk mempertahankan akses yang paling tidak istimewa, sebaiknya Anda mengatur pengalih ini keTidak sebelum Anda menonaktifkan penetapan peran Anda.

4. Pilih Simpan untuk menyimpan pengaturan Anda.

   Setelan ini bukan properti global dan hanya berlaku untuk pengguna yang saat ini masuk. Anda tidak dapat meningkatkan akses untuk semua anggota peran Administrator Global.

5. Keluar dan masuk kembali untuk menyegarkan akses Anda.

   Anda sekarang harus memiliki akses ke semua langganan dan grup manajemen di penyewa Anda. Saat Anda melihat halaman Kontrol akses (IAM), Anda akan melihat bahwa Anda telah diberi peran Administrator Akses Pengguna di lingkup root.

   

6. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure. Jika Anda menggunakan Manajemen Identitas Istimewa, lihat Menemukan sumber daya Azure untuk mengelola atau Menetapkan peran sumber daya Azure.

7. Lakukan langkah-langkah di bagian berikut untuk menghapus akses yang ditingkatkan.

Langkah 2: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang sama yang digunakan untuk meningkatkan akses.

2. Telusuri ke Microsoft Entra ID>Kelola>Properti.

3. Atur kembali Manajemen akses untuk sumber daya Azure ke Tidak. Karena ini adalah pengaturan per pengguna, Anda harus masuk sebagai pengguna yang sama seperti yang digunakan untuk meningkatkan akses.

   Jika Anda mencoba menghapus penetapan peran Administrator Akses Pengguna di halaman Kontrol akses (IAM), Anda akan melihat pesan berikut ini. Untuk menghapus penetapan peran, Anda harus mengembalikan pengalih kembali ke Tidak atau menggunakan Azure PowerShell, Azure CLI, atau REST API.

   

4. Keluar sebagai Administrator Global.

   Jika Anda menggunakan Azure Active Directory Privileged Identity Management, nonaktifkan tugas peran Administrator Global Anda.

   Catatan

   Jika Anda menggunakan Manajemen Identitas Istimewa, menonaktifkan penetapan peran Anda tidak mengubah pengalih Manajemen akses untuk sumber daya Azure ke Tidak. Untuk mempertahankan akses yang paling tidak istimewa, sebaiknya Anda mengatur pengalih ini keTidak sebelum Anda menonaktifkan penetapan peran Anda.

PowerShell

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan portal Azure atau REST API untuk meningkatkan akses bagi Administrator Global.

Langkah 2: Mencantumkan penetapan peran di lingkup root (/)

Setelah Anda meningkatkan akses, untuk mencantumkan penetapan peran Administrator Akses Pengguna untuk pengguna di cakupan root (/), gunakan perintah Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Langkah 3: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri atau pengguna lain di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang dapat menghapus akses yang ditingkatkan. Ini bisa menjadi pengguna yang sama yang digunakan untuk meningkatkan akses atau Administrator Global lain dengan akses yang ditingkatkan pada lingkup root.

2. Gunakan perintah Remove-AzRoleAssignment untuk menghapus penetapan peran Administrator Akses Pengguna.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan langkah-langkah dasar berikut untuk meningkatkan akses bagi Administrator Global menggunakan Azure CLI.

1. Gunakan perintah az rest untuk memanggil titik akhir elevateAccess, yang memberi Anda peran Administrator Akses Pengguna di lingkup root (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan Azure CLI.

3. Lakukan langkah-langkah di bagian selanjutnya untuk menghapus akses yang ditingkatkan.

Langkah 2: Mencantumkan penetapan peran di lingkup root (/)

Setelah Anda meningkatkan akses, untuk mencantumkan penetapan peran Administrator Akses Pengguna untuk pengguna di cakupan root (/), gunakan perintah daftar penetapan peran az.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Langkah 3: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri atau pengguna lain di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang dapat menghapus akses yang ditingkatkan. Ini bisa menjadi pengguna yang sama yang digunakan untuk meningkatkan akses atau Administrator Global lain dengan akses yang ditingkatkan pada lingkup root.

2. Gunakan perintah az role assignment delete untuk menghapus penetapan peran Administrator Akses Pengguna.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prasyarat

Anda harus menggunakan versi berikut:

• 2015-07-01 atau yang lebih baru untuk mencantumkan dan menghapus penetapan peran
• 2016-07-01 atau yang lebih baru untuk meningkatkan akses
• 2018-07-01-preview atau yang lebih baru untuk mencantumkan penugasan penolakan

Untuk informasi selengkapnya, lihat versi API dari REST API RBAC Azure.

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan langkah-langkah dasar berikut untuk meningkatkan akses bagi Administrator Global menggunakan REST API.

1. Menggunakan REST, panggil elevateAccess, yang memberi Anda peran Administrator Akses Pengguna di lingkup root (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan REST API.

3. Lakukan langkah-langkah di bagian selanjutnya untuk menghapus akses yang ditingkatkan.

Langkah 2: Mencantumkan penetapan peran di cakupan root (/)

Setelah Anda meningkatkan akses, Anda dapat mencantumkan semua penetapan peran untuk pengguna di cakupan root (/).

• Panggil Penetapan Peran - Daftar Untuk Cakupan di mana {objectIdOfUser} adalah ID objek pengguna yang penetapan perannya ingin Anda ambil.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Langkah 3: Mencantumkan penugasan penolakan pada cakupan root (/)

Setelah Anda meningkatkan akses, Anda dapat mencantumkan semua penugasan penolakan untuk pengguna di cakupan root (/).

• Panggil Penugasan Penolakan - Daftar Untuk Cakupan di mana {objectIdOfUser} adalah ID objek pengguna yang penugasan penolakannya ingin Anda ambil.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Langkah 4: Hapus akses yang ditingkatkan

Ketika Anda memanggil elevateAccess, Anda membuat tugas peran untuk diri Anda sendiri, jadi untuk mencabut hak istimewa tersebut, Anda perlu menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri di lingkup root (/).

1. Definisi Peran Panggilan - Dapatkan di mana roleName sama dengan Administrator Akses Pengguna untuk menentukan ID nama peran Administrator Akses Pengguna.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Simpan ID parameter name, dalam hal ini 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Anda juga perlu mencantumkan penetapan peran untuk administrator penyewa di cakupan penyewa. Cantumkan semua tugas di cakupan penyewa untuk principalId administrator penyewa yang melakukan panggilan akses peningkatan. Ini akan mencantumkan semua penugasan di penyewa untuk objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Catatan

   Administrator penyewa seharusnya tidak memiliki banyak penugasan. Jika kueri sebelumnya mengembalikan terlalu banyak penugasan, Anda juga dapat mengkueri semua tugas hanya pada cakupan penyewa, lalu memfilter hasilnya: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Panggilan sebelumnya mengembalikan daftar penetapan peran. Temukan penetapan peran di mana cakupan berada "/" dan roleDefinitionId diakhiri dengan ID nama peran yang Anda temukan di langkah 1 dan principalId cocok dengan objectId administrator penyewa.

   Penetapan peran sampel:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Sekali lagi, simpan ID dari parameter name, dalam hal ini 11111111-1111-1111-1111-111111111111.

4. Terakhir, Gunakan ID penetapan peran untuk menghapus tugas yang ditambahkan oleh elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Menampilkan pengguna dengan akses yang ditingkatkan

Jika Anda memiliki pengguna dengan akses yang ditinggikan dan Anda memiliki izin yang sesuai, banner ditampilkan di beberapa lokasi portal Microsoft Azure. Administrator Global memiliki izin untuk membaca penetapan peran Azure mulai dari lingkup akar dan seterusnya untuk semua grup manajemen Azure dan langganan dalam tenant. Bagian ini menjelaskan cara menentukan apakah Anda memiliki pengguna yang telah meningkatkan akses di penyewa Anda.

Opsi 1

1. Di portal Microsoft Azure, masuk sebagai Administrator Global.

2. Telusuri ke Microsoft Entra ID>Kelola>Properti.

3. Di bawah Manajemen akses untuk sumber daya Azure, cari banner berikut.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

4. Pilih tautan Kelola pengguna akses yang ditingkatkan untuk melihat daftar pengguna dengan akses yang ditingkatkan.

Opsi 2

1. Di portal Microsoft Azure, masuk sebagai Administrator Global dengan akses yang ditinggikan.

2. Telusuri ke langganan.

3. Pilih Kontrol Akses (IAM).

4. Di bagian atas halaman, cari banner berikut.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

5. Pilih tautan Tampilkan penetapan peran untuk melihat daftar pengguna dengan akses yang ditingkatkan.

Menghapus akses yang ditingkatkan untuk pengguna

Jika Anda memiliki pengguna dengan akses yang ditingkatkan, Anda harus segera mengambil tindakan dan menghapus akses tersebut. Untuk menghapus penetapan peran ini, Anda juga harus memiliki akses yang ditingkatkan. Bagian ini menjelaskan cara menghapus akses yang ditingkatkan untuk pengguna di penyewa Anda menggunakan portal Azure. Kemampuan ini sedang disebarkan secara bertahap, sehingga mungkin belum tersedia di penyewa Anda.

1. Masuk ke portal Azure sebagai Administrator Global.

2. Telusuri ke Microsoft Entra ID>Kelola>Properti.

3. Di bawah Manajemen akses untuk sumber daya Azure, atur tombol ke Ya seperti yang dijelaskan sebelumnya di Langkah 1: Tingkatkan akses untuk Administrator Global.

4. Pilih tautan Kelola pengguna akses yang ditingkatkan.

   Panel Pengguna dengan akses yang ditingkatkan muncul dengan daftar pengguna dengan akses yang ditingkatkan di penyewa Anda.

   

5. Untuk menghapus akses yang ditingkatkan bagi pengguna, tambahkan tanda centang di samping pengguna dan pilih Hapus.

Melihat entri log akses yang ditingkatkan

Ketika akses ditingkatkan atau dihapus, entri ditambahkan ke log. Sebagai administrator di MICROSOFT Entra ID, Anda mungkin ingin memeriksa kapan akses ditinggikan dan siapa yang melakukannya.

Meningkatkan entri log akses muncul di log audit direktori Microsoft Entra dan log aktivitas Azure. Entri log akses yang ditingkatkan untuk log audit direktori dan log aktivitas mencakup informasi serupa. Namun, log audit direktori lebih mudah difilter dan diekspor. Selain itu, kemampuan ekspor memungkinkan Anda melakukan streaming peristiwa akses, yang dapat digunakan untuk solusi pemberitahuan dan deteksi Anda, seperti Microsoft Sentinel atau sistem lainnya. Untuk informasi tentang cara mengirim log ke tujuan yang berbeda, lihat Mengonfigurasi pengaturan diagnostik Microsoft Entra untuk log aktivitas.

Bagian ini menjelaskan berbagai cara agar Anda dapat melihat entri log akses yang ditingkatkan.

Log audit Microsoft Entra

Penting

Meningkatkan entri log akses di log audit direktori Microsoft Entra saat ini dalam pratinjau. Versi pratinjau ini diberikan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

1. Masuk ke portal Azure sebagai Administrator Global.

2. Telusuri ke

3. Di filter Layanan, pilih Azure RBAC (Elevated Access) lalu pilih Terapkan.

   Log akses yang ditingkatkan ditampilkan.

   

4. Untuk melihat detail ketika akses ditingkatkan atau dihapus, pilih entri log audit ini.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Untuk mengunduh dan melihat payload entri log dalam format JSON, pilih Unduh dan JSON.

   

Log aktivitas Azure

Menampilkan entri log akses yang ditingkatkan menggunakan portal Azure

1. Masuk ke portal Azure sebagai Administrator Global.

2. Telusuri untuk Memantau>log Aktivitas.

3. Mengubah daftar Aktivitas menjadi Aktivitas Direktori.

4. Cari operasi berikut, yang menandakan peningkatan tindakan akses.

   Assigns the caller to User Access Administrator role

   

Menampilkan entri log akses yang ditinggikan menggunakan Azure CLI

1. Gunakan perintah login az untuk masuk sebagai Administrator Global.

2. Gunakan perintah az rest untuk membuat panggilan berikut di mana Anda harus memfilter berdasarkan tanggal seperti yang ditunjukkan dengan contoh tanda waktu dan tentukan nama file tempat Anda ingin log disimpan.

   urlPanggilan API untuk mengambil log di Microsoft.Insights. Output akan disimpan ke file Anda.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Dalam file output, cari elevateAccess.

   Log akan menyerupai berikut di mana Anda dapat melihat tanda waktu ketika tindakan terjadi dan siapa yang menyebutnya.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Mendelegasikan akses ke grup untuk melihat entri log akses yang ditinggikan menggunakan Azure CLI

Jika Anda ingin dapat secara berkala mendapatkan entri log akses yang ditinggikan, Anda dapat mendelegasikan akses ke grup lalu menggunakan Azure CLI.

1. Telusuri ke Grup ID>Microsoft Entra.

2. Buat grup keamanan baru dan catat ID objek grup.

3. Gunakan perintah login az untuk masuk sebagai Administrator Global.

4. Gunakan perintah az role assignment create untuk menetapkan peran Pembaca ke grup yang hanya dapat membaca log di tingkat penyewa, yang ditemukan di Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Tambahkan pengguna yang akan membaca log ke grup yang dibuat sebelumnya.

Pengguna dalam grup sekarang dapat secara berkala menjalankan perintah az rest untuk melihat entri log akses yang lebih tinggi.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Mendeteksi meningkatkan peristiwa akses menggunakan Microsoft Azure Sentinel

Untuk mendeteksi peningkatan peristiwa akses dan mendapatkan visibilitas ke dalam aktivitas yang berpotensi penipuan, Anda dapat menggunakan Microsoft Sentinel. Microsoft Sentinel adalah platform manajemen informasi dan peristiwa keamanan (SIEM) yang menyediakan analitik keamanan dan kemampuan respons ancaman. Bagian ini menjelaskan cara menyambungkan log audit Microsoft Entra ke Microsoft Azure Sentinel sehingga Anda dapat mendeteksi peningkatan akses di organisasi Anda.

Langkah 1: Aktifkan Microsoft Azure Sentinel

Untuk memulai, tambahkan Microsoft Azure Sentinel ke ruang kerja Analitik Log yang sudah ada atau buat yang baru.

• Aktifkan Microsoft Azure Sentinel dengan mengikuti langkah-langkah di Mengaktifkan Microsoft Azure Sentinel.

  

Langkah 2: Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel

Dalam langkah ini, Anda menginstal solusi ID Microsoft Entra dan menggunakan konektor ID Microsoft Entra untuk mengumpulkan data dari ID Microsoft Entra.

Organisasi Anda mungkin telah mengonfigurasi pengaturan diagnostik untuk mengintegrasikan log audit Microsoft Entra. Untuk memeriksa, lihat pengaturan diagnostik Anda seperti yang dijelaskan dalam Cara mengakses pengaturan diagnostik.

1. Instal solusi ID Microsoft Entra dengan mengikuti langkah-langkah di Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

   

2. Gunakan konektor MICROSOFT Entra ID untuk mengumpulkan data dari ID Microsoft Entra dengan mengikuti langkah-langkah di Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel.

3. Pada halaman Konektor data, tambahkan tanda centang untuk Log Audit.

   

Langkah 3: Membuat aturan akses yang ditingkatkan

Dalam langkah ini, Anda membuat aturan analitik terjadwal berdasarkan templat untuk memeriksa log audit Microsoft Entra untuk meningkatkan peristiwa akses.

1. Buat aturan analitik akses yang ditingkatkan dengan mengikuti langkah-langkah di Membuat aturan dari templat.

2. Pilih templat Azure RBAC (Elevate Access) lalu pilih tombol Buat aturan pada panel detail.

   Jika Anda tidak melihat panel detail, di tepi kanan, pilih ikon perluas.

   

3. Di wizard aturan Analitik, gunakan pengaturan default untuk membuat aturan terjadwal baru.

   

Langkah 4: Melihat insiden peningkatan akses

Dalam langkah ini, Anda melihat dan menyelidiki meningkatkan insiden akses.

• Gunakan halaman Insiden untuk melihat insiden peningkatan akses dengan mengikuti langkah-langkah di Menavigasi dan menyelidiki insiden di Microsoft Azure Sentinel.

  

Langkah berikutnya

• Memahami berbagai peran
• Menetapkan peran Azure menggunakan REST API