Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure
Articolo
In qualità di amministratore globale in Microsoft Entra ID, potrebbe non avere accesso a tutte le sottoscrizioni e i gruppi di gestione nel tenant. Questo articolo descrive i modi in cui è possibile elevare i privilegi di accesso a tutte le sottoscrizioni e tutti i gruppi di gestione.
Motivi per cui può essere necessario elevare i privilegi di accesso
Se si è un amministratore globale, potrebbero verificarsi momenti in cui si desidera eseguire le azioni seguenti:
Ottenere nuovamente l'accesso a una sottoscrizione o a un gruppo di gestione di Azure quando un utente ha perso l'accesso
Concedere a un altro utente o a se stesso l'accesso a una sottoscrizione o a un gruppo di gestione di Azure
Visualizzare tutte le sottoscrizioni o tutti i gruppi di gestione di Azure in un'organizzazione
Concedere a un'app di automazione (come un'app di fatturazione o di controllo) l'accesso a tutte le sottoscrizioni o a tutti i gruppi di gestione di Azure
Come funziona l'elevazione dei privilegi di accesso?
Le risorse di Microsoft Entra ID e Azure sono protette in modo indipendente le une dalle altre. Questo significa che le assegnazioni di ruolo di Microsoft Entra non concedono l'accesso alle risorse di Azure e le assegnazioni di ruolo di Azure non concedono l'accesso a Microsoft Entra ID. Tuttavia, se si è un amministratore globale in Microsoft Entra ID, è possibile assegnare a se stessi l'accesso a tutte le sottoscrizioni e i gruppi di gestione di Azure nel tenant. Usare questa funzionalità se non si ha accesso alle risorse della sottoscrizione di Azure, come le macchine virtuali o gli account di archiviazione, e si vuole usare il privilegio di amministratore globale per ottenere l'accesso a queste risorse.
Quando si eleva l'accesso, viene assegnato il ruolo Amministratore accesso utenti in Azure nell'ambito radice (/). In questo modo è possibile visualizzare tutte le risorse e assegnare l'accesso in qualsiasi sottoscrizione o gruppo di gestione nel tenant. Le assegnazioni di ruolo Amministratore accessi utente possono essere rimosse usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
L'accesso con privilegi elevati dovrebbe essere rimosso una volta apportate le modifiche necessarie nell'ambito radice.
Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).
In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì.
Quando si imposta l'interruttore su Sì, viene assegnato il ruolo Amministratore accesso utenti in Controllo degli accessi in base al ruolo di Azure nell'ambito radice (/). In questo modo si ottiene l'autorizzazione ad assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. Questo interruttore è disponibile solo per gli utenti a cui è stato assegnato il ruolo di amministratore globale in Microsoft Entra ID.
Quando si imposta l'interruttore su No, il ruolo Amministratore Accesso utenti nel controllo degli accessi in base al ruolo Azure viene rimosso dall'account utente. Non è quindi più possibile assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. È possibile visualizzare e gestire solo le sottoscrizioni e i gruppi di gestione di Azure ai quali si ha accesso.
Nota
Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.
Selezionare Salva per salvare l'impostazione.
Questa impostazione non è una proprietà globale e si applica solo all'utente attualmente connesso. Non è possibile elevare i privilegi di accesso per tutti i membri del ruolo Amministratore globale.
Disconnettersi e accedere nuovamente per aggiornare l'accesso.
A questo punto dovrebbe essere disponibile l'accesso a tutti i gruppi di gestione e le sottoscrizioni nel tenant. Quando si visualizza la pagina Controllo di accesso (IAM), si noterà che è stato assegnato il ruolo Amministratore Accesso utenti nell'ambito radice.
Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.
Per rimuovere l'accesso con privilegi elevati, seguire questa sezione.
Passaggio 2: Rimuovere l'accesso con privilegi elevati
Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti nell'ambito radice (/), seguire questa procedura.
Accedere con lo stesso utente usato per elevare i privilegi di accesso.
Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).
Impostare l'interruttore Gestione degli accessi per le risorse di Azure di nuovo su No. Poiché si tratta di un'impostazione per utente, è necessario essere connessi con lo stesso utente usato per elevare i privilegi di accesso.
Se si tenta di rimuovere l'assegnazione di ruolo Amministratore accesso utenti nella pagina Controllo di accesso (IAM), verrà visualizzato il messaggio seguente. Per rimuovere l'assegnazione di ruolo, è necessario impostare l'interruttore su No o usare Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Disconnettersi come amministratore globale.
Se si usa Privileged Identity Management, disattivare l'assegnazione di ruolo Amministratore globale.
Nota
Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.
Passaggio 1: Elevare l'accesso per un amministratore globale
Usare l'API REST o portale di Azure per elevare l'accesso per un amministratore globale.
Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)
Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando Get-AzRoleAssignment .
Passaggio 3: Rimuovere l'accesso con privilegi elevati
Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.
Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.
Usare il comando Remove-AzRoleAssignment per rimuovere l'assegnazione del ruolo Amministratore Accesso utenti.
Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.
Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)
Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando az role assignment list .
Interfaccia della riga di comando di Azure
az role assignment list --role"User Access Administrator"--scope"/"
Passaggio 3: Rimuovere l'accesso con privilegi elevati
Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.
Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.
GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
Passaggio 4: Rimuovere l'accesso con privilegi elevati
Quando si chiama elevateAccess, si crea un'assegnazione di ruolo per se stessi, quindi per revocare tali privilegi è necessario rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi nell'ambito radice (/).
Chiamare definizioni di ruolo: ottenere dove roleName è uguale a Amministratore accesso utenti per determinare l'ID nome del ruolo Amministratore accesso utenti.
HTTP
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
Salvare l'ID dal parametro name, in questo caso 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.
È anche necessario elencare l'assegnazione di ruolo per l'amministratore tenant nell'ambito del tenant. Elencare tutte le assegnazioni nell'ambito del tenant per principalId dell'amministratore del tenant che ha effettuato la chiamata per l'accesso con privilegi elevati. Sono incluse tutte le assegnazioni nel tenant per il parametro objectId.
HTTP
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
Nota
Un amministratore tenant non deve avere molte assegnazioni. Se la query precedente restituisce troppe assegnazioni, è anche possibile eseguire una query per tutte le assegnazioni solo nell'ambito del tenant, quindi filtrare i risultati: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()
Le chiamate precedenti restituiscono un elenco di assegnazioni di ruolo. Individuare l'assegnazione di ruolo in cui l'ambito è "/", roleDefinitionId termina con l'ID del nome del ruolo presente nel passaggio 1 e principalId corrisponde a objectId dell'amministratore del tenant.
Visualizzare gli utenti con accesso con privilegi elevati
Se si dispone di utenti con accesso con privilegi elevati, i banner vengono visualizzati in due posizioni del portale di Azure. Questa sezione descrive come determinare se si dispone di utenti con accesso con privilegi elevati nel tenant. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.
Opzione 1
Nella portale di Azure passare a Microsoft Entra ID>Gestisci>proprietà.
In Gestione degli accessi per le risorse di Azure cercare il banner seguente.
You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users
Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati per visualizzare un elenco di utenti con accesso con privilegi elevati.
Opzione 2
Nella portale di Azure passare a una sottoscrizione.
Seleziona Controllo di accesso (IAM).
Nella parte superiore della pagina cercare il banner seguente.
Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments
Selezionare il collegamento Visualizza assegnazioni di ruolo per visualizzare un elenco di utenti con accesso con privilegi elevati.
Rimuovere l'accesso con privilegi elevati per gli utenti
Se si dispone di utenti con accesso con privilegi elevati, è necessario intervenire immediatamente e rimuovere tale accesso. Per rimuovere queste assegnazioni di ruolo, è necessario disporre anche di accesso con privilegi elevati. Questa sezione descrive come rimuovere l'accesso con privilegi elevati per gli utenti nel tenant usando il portale di Azure. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.
Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati.
Viene visualizzato il riquadro Utenti con accesso con privilegi elevati con un elenco di utenti con accesso con privilegi elevati nel tenant.
Per rimuovere l'accesso con privilegi elevati per gli utenti, aggiungere un segno di spunta accanto all'utente e selezionare Rimuovi.
Visualizzare voci di log di accesso elevate
Quando l'accesso viene elevato o rimosso, viene aggiunta una voce ai log. In qualità di amministratore in Microsoft Entra ID, è possibile controllare quando l'accesso è stato elevato e chi l'ha fatto.
Le voci dei log di accesso elevate vengono visualizzate sia nei log di controllo della directory Microsoft Entra che nei log attività di Azure. Le voci del log di accesso con privilegi elevati per i log di controllo della directory e i log attività includono informazioni simili. Tuttavia, i log di controllo della directory sono più facili da filtrare ed esportare. Inoltre, la funzionalità di esportazione consente di trasmettere gli eventi di accesso, che possono essere usati per le soluzioni di avviso e rilevamento, ad esempio Microsoft Sentinel o altri sistemi. Per informazioni su come inviare log a destinazioni diverse, vedere Configurare le impostazioni di diagnostica di Microsoft Entra per i log attività.
Questa sezione descrive diversi modi in cui è possibile visualizzare le voci di log di accesso elevate.
Le voci dei log di accesso elevate nei log di controllo della directory Microsoft Entra sono attualmente in anteprima.
Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.
Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Modificare l'elenco attività in Attività directory.
Cercare l'operazione seguente, che indica l'azione di accesso con privilegi elevati.
Assigns the caller to User Access Administrator role
Visualizzare voci di log di accesso elevate con l'interfaccia della riga di comando di Azure
Usare il comando az login per accedere come amministratore globale.
Usare il comando az rest per effettuare la chiamata seguente in cui sarà necessario filtrare in base a una data, come illustrato con il timestamp di esempio e specificare un nome file in cui archiviare i log.
Chiama url un'API per recuperare i log in Microsoft.Insights. L'output verrà salvato nel file.
Interfaccia della riga di comando di Azure
az rest --url"https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
Nel file di output cercare elevateAccess.
Il log sarà simile al seguente, dove è possibile visualizzare il timestamp di quando si è verificata l'azione e chi lo ha chiamato.
Delegare l'accesso a un gruppo per visualizzare voci di log di accesso elevate tramite l'interfaccia della riga di comando di Azure
Se si vuole essere in grado di ottenere periodicamente le voci di log di accesso elevate, è possibile delegare l'accesso a un gruppo e quindi usare l'interfaccia della riga di comando di Azure.
Passare a Gruppi ID>Entra Di Microsoft.
Creare un nuovo gruppo di sicurezza e prendere nota dell'ID oggetto gruppo.
Usare il comando az login per accedere come amministratore globale.
az role assignment create --assignee"{groupId}"--role"Reader"--scope"/providers/Microsoft.Insights"
Aggiungere un utente che leggerà i log al gruppo creato in precedenza.
Un utente nel gruppo può ora eseguire periodicamente il comando az rest per visualizzare le voci del log di accesso elevate.
Interfaccia della riga di comando di Azure
az rest --url"https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
Rilevare eventi di accesso elevati con Microsoft Sentinel
Per rilevare eventi di accesso elevati e ottenere visibilità sulle attività potenzialmente fraudolente, è possibile usare Microsoft Sentinel.
Microsoft Sentinel è una piattaforma SIEM (Security Information and Event Management) che offre funzionalità di analisi della sicurezza e risposta alle minacce. Questa sezione descrive come connettere i log di controllo di Microsoft Entra a Microsoft Sentinel in modo da poter rilevare l'accesso con privilegi elevati nell'organizzazione.
Passaggio 1: Abilitare Microsoft Sentinel
Per iniziare, aggiungere Microsoft Sentinel a un'area di lavoro Log Analytics esistente o crearne una nuova.
Passaggio 2: Connettere i dati di Microsoft Entra a Microsoft Sentinel
In questo passaggio si installa la soluzione Microsoft Entra ID e si usa il connettore Microsoft Entra ID per raccogliere dati da Microsoft Entra ID.
L'organizzazione potrebbe aver già configurato un'impostazione di diagnostica per integrare i log di controllo di Microsoft Entra. Per verificare, visualizzare le impostazioni di diagnostica come descritto in Come accedere alle impostazioni di diagnostica.
Installare la soluzione Microsoft Entra ID seguendo la procedura descritta in Individuare e gestire i contenuti predefiniti di Microsoft Sentinel.
Nella pagina Connettori dati aggiungere un segno di spunta per i log di controllo.
Passaggio 3: Creare una regola di accesso con privilegi elevati
In questo passaggio si crea una regola di analisi pianificata basata su un modello per esaminare i log di controllo di Microsoft Entra per verificare la disponibilità di eventi di accesso elevati.
Creare una regola di analisi di accesso con privilegi elevati seguendo la procedura descritta in Creare una regola da un modello.
Selezionare il modello Controllo degli accessi in base al ruolo di Azure (Elevate Access) e quindi selezionare il pulsante Crea regola nel riquadro dei dettagli.
Se il riquadro dei dettagli non viene visualizzato, sul bordo destro selezionare l'icona di espansione.
Nella procedura guidata delle regole di Analisi usare le impostazioni predefinite per creare una nuova regola pianificata.
Passaggio 4: Visualizzare gli eventi imprevisti di accesso con privilegi elevati
In questo passaggio si visualizzano e si esaminano eventi imprevisti di accesso elevati.
I log di controllo e diagnostica di Microsoft Entra ID offrono una panoramica dettagliata sul modo in cui gli utenti accedono alla soluzione Azure. Informazioni su come monitorare, analizzare e risolvere i problemi relativi ai dati di accesso.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Informazioni su come usare la cartella di lavoro delle lacune dell'autenticazione a più fattori in Microsoft Entra ID per identificare le app e gli utenti che non sono protetti da MFA.
Informazioni su come rendere un utente un amministratore di una sottoscrizione di Azure con condizioni usando il portale di Azure e il controllo degli accessi in base al ruolo di Azure.
Modificare le impostazioni del portale di Azure, come sottoscrizione/directory predefinita, timeout, modalità menu, contrasto, tema, notifiche, lingua/area geografica e altro ancora.
