Tingkatkan akses untuk mengelola semua langganan Azure dan grup manajemen

Sebagai Administrator Global di Microsoft Entra ID, Anda mungkin tidak memiliki akses ke semua langganan dan grup manajemen di direktori Anda. Artikel ini menjelaskan cara-cara untuk meningkatkan akses Anda ke semua langganan dan grup manajemen.

Catatan

Untuk informasi tentang menampilkan atau menghapus data pribadi, lihat Permintaan Subjek Data Azure untuk GDPR. Untuk informasi selengkapnya tentang GDPR, lihat bagian GDPR di Microsoft Trust Center dan bagian GDPR dari portal Service Trust.

Mengapa Anda perlu meningkatkan akses Anda?

Jika Anda adalah Administrator Global, mungkin ada kalanya Anda ingin melakukan tindakan berikut:

• Mendapatkan kembali akses ke grup langganan atau manajemen Azure saat pengguna kehilangan akses
• Memberi pengguna lain atau diri Anda akses ke langganan atau grup manajemen Azure
• Melihat semua langganan atau grup manajemen Azure dalam organisasi
• Mengizinkan aplikasi otomatisasi (seperti aplikasi faktur atau audit) untuk mengakses semua langganan atau grup manajemen Azure

Bagaimana cara kerja akses yang ditingkatkan?

Sumber daya Microsoft Entra ID dan Azure diamankan secara independen satu sama lain. Artinya, penetapan peran Microsoft Entra tidak memberikan akses ke sumber daya Azure, dan penetapan peran Azure tidak memberikan akses ke Microsoft Entra ID. Namun, jika Anda adalah Administrator Global di Microsoft Entra ID, Anda dapat menetapkan sendiri akses ke semua langganan dan grup manajemen Azure di direktori Anda. Gunakan kemampuan ini jika Anda tidak memiliki akses ke sumber daya langganan Azure, seperti komputer virtual atau akun penyimpanan, dan Anda ingin menggunakan hak istimewa Administrator Global Anda untuk mendapatkan akses ke sumber daya tersebut.

Setelah Anda meningkatkan akses, Anda akan ditetapkan peran Administrator Akses Pengguna di Azure pada lingkup root (/). Ini memungkinkan Anda untuk melihat semua sumber daya dan menetapkan akses di setiap grup langganan atau manajemen di direktori. Penetapan peran Administrator Akses Pengguna dapat dihapus menggunakan Azure PowerShell, Azure CLI, atau REST API.

Anda harus menghapus akses yang ditingkatkan ini setelah Anda membuat perubahan yang perlu Anda lakukan pada lingkup root.

Lakukan langkah-langkah pada cakupan root

Portal Azure

Langkah 1: Meningkatkan akses untuk Administrator Global

Ikuti langkah-langkah ini untuk meningkatkan akses untuk Administrator Global menggunakan portal Microsoft Azure.

1. Masuk ke portal Azure sebagai Administrator Global.

   Jika Anda menggunakan Microsoft Entra Privileged Identity Management, aktifkan penetapan peran Administrator Global Anda.

2. Buka Microsoft Entra ID.

3. Di bawah Kelola, pilih Properti.

   

4. Di bawah Manajemen akses untuk sumber daya Azure, atur tombol ke Ya.

   

   Saat Anda mengatur pengalih ke Ya, Anda diberi peran Administrator Akses Pengguna di Azure RBAC pada lingkup root (/). Ini memberi Anda izin untuk menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan direktori Microsoft Entra ini. Tombol ini hanya tersedia untuk pengguna yang diberi peran Administrator Global di ID Microsoft Entra.

   Saat Anda mengatur pengalih ke Tidak, peran Administrator Akses Pengguna di Azure RBAC dihapus dari akun pengguna Anda. Anda tidak dapat lagi menetapkan peran di semua langganan Azure dan grup manajemen yang terkait dengan direktori Microsoft Entra ini. Anda hanya bisa menampilkan dan mengelola langganan Azure dan grup manajemen yang telah Anda akses.

   Catatan

   Jika Anda menggunakan Manajemen Identitas Istimewa, menonaktifkan penetapan peran Anda tidak mengubah pengalih Manajemen akses untuk sumber daya Azure ke Tidak. Untuk mempertahankan akses yang paling tidak istimewa, sebaiknya Anda mengatur pengalih ini keTidak sebelum Anda menonaktifkan penetapan peran Anda.

5. Klik Simpan untuk menyimpan pengaturan Anda.

   Setelan ini bukan properti global dan hanya berlaku untuk pengguna yang saat ini masuk. Anda tidak dapat meningkatkan akses untuk semua anggota peran Administrator Global.

6. Keluar dan masuk kembali untuk menyegarkan akses Anda.

   Sekarang Anda harus memiliki akses ke semua langganan dan grup manajemen di direktori Anda. Saat Anda melihat panel Kontrol akses (IAM), Anda akan melihat bahwa Anda telah diberi peran Administrator Akses Pengguna di lingkup root.

   

7. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure. Jika Anda menggunakan Manajemen Identitas Istimewa, lihat Menemukan sumber daya Azure untuk mengelola atau Menetapkan peran sumber daya Azure.

8. Lakukan langkah-langkah di bagian berikut untuk menghapus akses yang ditingkatkan.

Langkah 2: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang sama yang digunakan untuk meningkatkan akses.

2. Di daftar navigasi, klik ID Microsoft Entra lalu klik Properti.

3. Atur kembali Manajemen akses untuk sumber daya Azure ke Tidak. Karena ini adalah pengaturan per pengguna, Anda harus masuk sebagai pengguna yang sama seperti yang digunakan untuk meningkatkan akses.

   Jika Anda mencoba menghapus penetapan peran Administrator Akses Pengguna di panel Kontrol akses (IAM), Anda akan melihat pesan berikut ini. Untuk menghapus penetapan peran, Anda harus mengembalikan pengalih kembali ke Tidak atau menggunakan Azure PowerShell, Azure CLI, atau REST API.

   

4. Keluar sebagai Administrator Global.

   Jika Anda menggunakan Azure Active Directory Privileged Identity Management, nonaktifkan tugas peran Administrator Global Anda.

   Catatan

   Jika Anda menggunakan Manajemen Identitas Istimewa, menonaktifkan penetapan peran Anda tidak mengubah pengalih Manajemen akses untuk sumber daya Azure ke Tidak. Untuk mempertahankan akses yang paling tidak istimewa, sebaiknya Anda mengatur pengalih ini keTidak sebelum Anda menonaktifkan penetapan peran Anda.

PowerShell

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan portal Azure atau REST API untuk meningkatkan akses bagi Administrator Global.

Langkah 2: Mencantumkan penetapan peran di lingkup root (/)

Setelah Anda meningkatkan akses, untuk mencantumkan penetapan peran Administrator Akses Pengguna untuk pengguna di cakupan root (/), gunakan perintah Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Langkah 3: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri atau pengguna lain di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang dapat menghapus akses yang ditingkatkan. Ini bisa menjadi pengguna yang sama yang digunakan untuk meningkatkan akses atau Administrator Global lain dengan akses yang ditingkatkan pada lingkup root.

2. Gunakan perintah Remove-AzRoleAssignment untuk menghapus penetapan peran Administrator Akses Pengguna.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan langkah-langkah dasar berikut untuk meningkatkan akses bagi Administrator Global menggunakan Azure CLI.

1. Gunakan perintah az rest untuk memanggil titik akhir elevateAccess, yang memberi Anda peran Administrator Akses Pengguna di lingkup root (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan Azure CLI.

3. Lakukan langkah-langkah di bagian selanjutnya untuk menghapus akses yang ditingkatkan.

Langkah 2: Mencantumkan penetapan peran di lingkup root (/)

Setelah Anda meningkatkan akses, untuk mencantumkan penetapan peran Administrator Akses Pengguna untuk pengguna di cakupan root (/), gunakan perintah daftar penetapan peran az.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Langkah 3: Hapus akses yang ditingkatkan

Untuk menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri atau pengguna lain di lingkup root (/), ikuti langkah-langkah ini.

1. Masuk sebagai pengguna yang dapat menghapus akses yang ditingkatkan. Ini bisa menjadi pengguna yang sama yang digunakan untuk meningkatkan akses atau Administrator Global lain dengan akses yang ditingkatkan pada lingkup root.

2. Gunakan perintah az role assignment delete untuk menghapus penetapan peran Administrator Akses Pengguna.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prasyarat

Anda harus menggunakan versi berikut:

• 2015-07-01 atau yang lebih baru untuk mencantumkan dan menghapus penetapan peran
• 2016-07-01 atau yang lebih baru untuk meningkatkan akses
• 2018-07-01-preview atau yang lebih baru untuk mencantumkan penugasan penolakan

Untuk informasi selengkapnya, lihat API versi REST API Azure RBAC.

Langkah 1: Meningkatkan akses untuk Administrator Global

Gunakan langkah-langkah dasar berikut untuk meningkatkan akses bagi Administrator Global menggunakan REST API.

1. Menggunakan REST, panggil elevateAccess, yang memberi Anda peran Administrator Akses Pengguna di lingkup root (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Buat perubahan yang perlu Anda lakukan pada akses yang ditingkatkan.

   Untuk informasi tentang menetapkan peran, lihat Menetapkan peran Azure menggunakan REST API.

3. Lakukan langkah-langkah di bagian selanjutnya untuk menghapus akses yang ditingkatkan.

Langkah 2: Mencantumkan penetapan peran di cakupan root (/)

Setelah Anda meningkatkan akses, Anda dapat mencantumkan semua penetapan peran untuk pengguna di cakupan root (/).

• Panggil Penetapan Peran - Daftar Untuk Cakupan di mana {objectIdOfUser} adalah ID objek pengguna yang penetapan perannya ingin Anda ambil.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Langkah 3: Mencantumkan penugasan penolakan pada cakupan root (/)

Setelah Anda meningkatkan akses, Anda dapat mencantumkan semua penugasan penolakan untuk pengguna di cakupan root (/).

• Panggil Penugasan Penolakan - Daftar Untuk Cakupan di mana {objectIdOfUser} adalah ID objek pengguna yang penugasan penolakannya ingin Anda ambil.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Langkah 4: Hapus akses yang ditingkatkan

Ketika Anda memanggil elevateAccess, Anda membuat tugas peran untuk diri Anda sendiri, jadi untuk mencabut hak istimewa tersebut, Anda perlu menghapus penetapan peran Administrator Akses Pengguna untuk diri Anda sendiri di lingkup root (/).

1. Definisi Peran Panggilan - Dapatkan di mana roleName sama dengan Administrator Akses Pengguna untuk menentukan ID nama peran Administrator Akses Pengguna.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Simpan ID parameter name, dalam hal ini 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Anda juga perlu mencantumkan penetapan peran untuk administrator direktori di lingkup direktori. Mencantumkan semua tugas di lingkup direktori untuk principalId administrator direktori yang melakukan panggilan akses peningkatan. Ini akan mencantumkan semua tugas dalam direktori untuk objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Catatan

   Administrator direktori tidak boleh memiliki banyak tugas, jika kueri sebelumnya mengembalikan terlalu banyak tugas, Anda juga bisa meminta semua tugas hanya pada tingkat lingkup direktori, lalu memfilter hasilnya: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Panggilan sebelumnya mengembalikan daftar penetapan peran. Temukan penetapan peran tempat lingkupnya adalah "/" dan roleDefinitionId diakhiri dengan ID nama peran yang Anda temukan dalam langkah 1 dan principalId cocok dengan objectid administrator direktori.

   Penetapan peran sampel:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Sekali lagi, simpan ID dari parameter name, dalam hal ini 11111111-1111-1111-1111-111111111111.

4. Terakhir, Gunakan ID penetapan peran untuk menghapus tugas yang ditambahkan oleh elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Menampilkan entri log akses yang ditingkatkan di log Aktivitas Direktori

Ketika akses ditinggikan, entri ditambahkan ke log. Sebagai Administrator Global di ID Microsoft Entra, Anda mungkin ingin memeriksa kapan akses ditinggikan dan siapa yang melakukannya. Meningkatkan entri log akses tidak muncul di log aktivitas standar, tetapi sebaliknya muncul di log Aktivitas Direktori. Bagian ini menjelaskan berbagai cara agar Anda dapat melihat entri log akses yang ditingkatkan.

Menampilkan entri log akses yang ditingkatkan menggunakan portal Azure

1. Masuk ke portal Azure sebagai Administrator Global.

2. Pilih Pantau>log Aktivitas.

3. Mengubah daftar Aktivitas menjadi Aktivitas Direktori.

4. Cari operasi berikut, yang menandakan peningkatan tindakan akses.

   Assigns the caller to User Access Administrator role

   

Menampilkan entri log akses yang ditinggikan menggunakan Azure CLI

1. Gunakan perintah login az untuk masuk sebagai Administrator Global.

2. Gunakan perintah az rest untuk membuat panggilan berikut di mana Anda harus memfilter berdasarkan tanggal seperti yang ditunjukkan dengan contoh tanda waktu dan tentukan nama file tempat Anda ingin log disimpan.

   urlPanggilan API untuk mengambil log di Microsoft.Insights. Output akan disimpan ke file Anda.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Dalam file output, cari elevateAccess.

   Log akan menyerupai berikut di mana Anda dapat melihat tanda waktu ketika tindakan terjadi dan siapa yang menyebutnya.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Mendelegasikan akses ke grup untuk melihat entri log akses yang ditinggikan menggunakan Azure CLI

Jika Anda ingin dapat secara berkala mendapatkan entri log akses yang ditinggikan, Anda dapat mendelegasikan akses ke grup lalu menggunakan Azure CLI.

1. Buka Grup ID>Microsoft Entra.

2. Buat grup keamanan baru dan catat ID objek grup.

3. Gunakan perintah login az untuk masuk sebagai Administrator Global.

4. Gunakan perintah pembuatan tugas peran az untuk menetapkan peran Pembaca ke grup yang hanya dapat membaca log di tingkat direktori, yang ditemukan di Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Tambahkan pengguna yang akan membaca log ke grup yang dibuat sebelumnya.

Pengguna dalam grup sekarang dapat secara berkala menjalankan perintah az rest untuk melihat entri log akses yang lebih tinggi.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Langkah berikutnya

• Memahami berbagai peran
• Menetapkan peran Azure menggunakan REST API