Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure

Come amministratore globale in Microsoft Entra ID, potrebbe non essere disponibile l'accesso a tutte le sottoscrizioni e i gruppi di gestione nella directory. Questo articolo descrive i modi in cui è possibile elevare i privilegi di accesso a tutte le sottoscrizioni e tutti i gruppi di gestione.

Nota

Per informazioni su come visualizzare o eliminare dati personali, vedere Richieste del soggetto dei dati per il GDPR in Azure. Per altre informazioni sul GDPR, vedere la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del portale Service Trust.

Motivi per cui può essere necessario elevare i privilegi di accesso

Se si è un Amministrazione istrator globale, potrebbero verificarsi momenti in cui si desidera eseguire le azioni seguenti:

• Ottenere nuovamente l'accesso a una sottoscrizione o a un gruppo di gestione di Azure quando un utente ha perso l'accesso
• Concedere a un altro utente o a se stesso l'accesso a una sottoscrizione o a un gruppo di gestione di Azure
• Visualizzare tutte le sottoscrizioni o tutti i gruppi di gestione di Azure in un'organizzazione
• Concedere a un'app di automazione (come un'app di fatturazione o di controllo) l'accesso a tutte le sottoscrizioni o a tutti i gruppi di gestione di Azure

Come funziona l'elevazione dei privilegi di accesso?

Le risorse di Microsoft Entra ID e Azure sono protette in modo indipendente le une dalle altre. Questo significa che le assegnazioni di ruolo di Microsoft Entra non concedono l'accesso alle risorse di Azure e le assegnazioni di ruolo di Azure non concedono l'accesso a Microsoft Entra ID. Un Amministratore globale di Microsoft Entra ID può tuttavia assegnare a se stesso l'accesso a tutte le sottoscrizioni e ai gruppi di gestione di Azure nella directory. Usare questa funzionalità se non si ha accesso alle risorse della sottoscrizione di Azure, come le macchine virtuali o gli account di archiviazione, e si vuole usare il privilegio di amministratore globale per ottenere l'accesso a queste risorse.

Quando si elevano i privilegi di accesso, si viene assegnati al ruolo Amministratore Accesso utenti nell'ambito radice (/). Questo consente di visualizzare tutte le risorse e assegnare l'accesso in qualsiasi sottoscrizione o gruppo di gestione nella directory. Le assegnazioni di ruolo Amministratore accessi utente possono essere rimosse usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

L'accesso con privilegi elevati dovrebbe essere rimosso una volta apportate le modifiche necessarie nell'ambito radice.

Eseguire i passaggi nell'ambito radice

Azure portal

Passaggio 1: Elevare l'accesso per un Amministrazione istrator globale

Seguire questa procedura per eseguire con privilegi elevati l'accesso per un amministratore globale usando il portale di Azure.

1. Accedere al portale di Azure come amministratore globale.

   Se si usa Microsoft Entra Privileged Identity Management, attivare l'assegnazione di ruolo Global Amministrazione istrator.

2. Aprire ID Microsoft Entra.

3. In Gestione selezionare Proprietà.

   

4. In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì.

   

   Quando si imposta l'interruttore su Sì, viene assegnato il ruolo Accesso utente Amministrazione istrator in Controllo degli accessi in base al ruolo di Azure nell'ambito radice (/). In questo modo si concede l'autorizzazione per assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati alla directory di Microsoft Entra. Questo interruttore è disponibile solo per gli utenti a cui è stato assegnato il ruolo di amministratore globale in Microsoft Entra ID.

   Quando si imposta l'interruttore su No, il ruolo Amministratore Accesso utenti nel controllo degli accessi in base al ruolo Azure viene rimosso dall'account utente. Non è più possibile assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questa directory di Microsoft Entra. È possibile visualizzare e gestire solo le sottoscrizioni e i gruppi di gestione di Azure ai quali si ha accesso.

   Nota

   Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.

5. Fare clic su Salva per salvare l'impostazione.

   Questa impostazione non è una proprietà globale e si applica solo all'utente attualmente connesso. Non è possibile elevare i privilegi di accesso per tutti i membri del ruolo Amministratore globale.

6. Disconnettersi e accedere nuovamente per aggiornare l'accesso.

   A questo punto dovrebbe essere disponibile l'accesso a tutti i gruppi di gestione e le sottoscrizioni nella directory. Quando si visualizza il riquadro Controllo di accesso (IAM), si noterà che è stato assegnato il ruolo Amministratore Accesso utenti nell'ambito radice.

   

7. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando il portale di Azure. Se si usa Privileged Identity Management, vedere Individuare le risorse di Azure per gestire o assegnare i ruoli delle risorse di Azure.

8. Per rimuovere l'accesso con privilegi elevati, seguire questa sezione.

Passaggio 2: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo accesso utente Amministrazione istrator nell'ambito radice (/), seguire questa procedura.

1. Accedere con lo stesso utente usato per elevare i privilegi di accesso.

2. Nell'elenco di spostamento, fare clic su Microsoft Entra ID quindi su Proprietà.

3. Impostare l'interruttore Gestione degli accessi per le risorse di Azure di nuovo su No. Poiché si tratta di un'impostazione per utente, è necessario essere connessi con lo stesso utente usato per elevare i privilegi di accesso.

   Se si tenta di rimuovere l'assegnazione di ruolo Amministratore Accesso utenti nel riquadro Controllo di accesso (IAM), verrà visualizzato il messaggio seguente. Per rimuovere l'assegnazione di ruolo, è necessario impostare l'interruttore su No o usare Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

   

4. Disconnettersi come amministratore globale.

   Se si usa Privileged Identity Management, disattivare l'assegnazione di ruolo Amministrazione istrator globale.

   Nota

   Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.

PowerShell

Passaggio 1: Elevare l'accesso per un Amministrazione istrator globale

Usare l'API REST o portale di Azure per elevare l'accesso a un Amministrazione istrator globale.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo accesso utente Amministrazione istrator per un utente nell'ambito radice (/), usare il comando Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministrazione istrator di Accesso utente per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

1. Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro Amministrazione istrator globale con accesso con privilegi elevati nell'ambito radice.

2. Usare il comando Remove-AzRoleAssignment per rimuovere l'assegnazione del ruolo Amministratore Accesso utenti.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Interfaccia della riga di comando di Azure

Passaggio 1: Elevare l'accesso per un Amministrazione istrator globale

Usare la procedura di base seguente per elevare l'accesso a un Amministrazione istrator globale usando l'interfaccia della riga di comando di Azure.

1. Usare il comando az rest per chiamare l'endpointelevateAccess, che concede il ruolo Accesso utente Amministrazione istrator nell'ambito radice (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

3. Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo accesso utente Amministrazione istrator per un utente nell'ambito radice (/), usare il comando az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministrazione istrator di Accesso utente per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

1. Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro Amministrazione istrator globale con accesso con privilegi elevati nell'ambito radice.

2. Usare il comando az role assignment delete per rimuovere l'assegnazione di ruolo accesso utente Amministrazione istrator.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prerequisiti

È necessario usare le versioni seguenti:

• 2015-07-01 o versioni successive per elencare e rimuovere le assegnazioni di ruolo
• 2016-07-01 o versione successiva per elevare l'accesso
• 2018-07-01-preview o versioni successive per elencare le assegnazioni di rifiuto

Per altre informazioni, vedere Versioni API delle API REST di Controllo degli accessi in base al ruolo di Azure.

Passaggio 1: Elevare l'accesso per un Amministrazione istrator globale

Usare la procedura di base seguente per eseguire con privilegi elevati l'accesso per l'amministratore globale usando l'API REST.

1. Usando REST, chiamare elevateAccess, che concede il ruolo Accesso utente Amministrazione istrator nell'ambito radice (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'API REST.

3. Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare le assegnazioni di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di ruolo per un utente nell'ambito radice (/).

• Chiamare assegnazioni di ruolo: elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di ruolo si desidera recuperare.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Passaggio 3: Elencare le assegnazioni di rifiuto nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di rifiuto per un utente nell'ambito radice (/).

• Chiamare Assegnazioni di rifiuto - Elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di rifiuto si desidera recuperare.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Passaggio 4: Rimuovere l'accesso con privilegi elevati

Quando si chiama elevateAccess, si crea un'assegnazione di ruolo per se stessi, quindi per revocare tali privilegi è necessario rimuovere l'assegnazione di ruolo accesso utente Amministrazione istrator per se stessi nell'ambito radice (/).

1. Chiamare definizioni di ruolo: ottenere dove roleName è uguale a User Access Amministrazione istrator per determinare l'ID nome del ruolo Accesso utente Amministrazione istrator.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Salvare l'ID dal parametro name, in questo caso 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. È necessario anche elencare l'assegnazione di ruolo per l'amministratore della directory nell'ambito della directory. Elencare tutte le assegnazioni nell'ambito della directory per il principalId dell'amministratore della directory che ha effettuato la chiamata per l'accesso con privilegi elevati. Sono incluse tutte le assegnazioni nella directory per il parametro objectId.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Nota

   Un amministratore della directory non dovrebbe avere molte assegnazioni. Se la query precedente restituisce troppe assegnazioni, è anche possibile eseguire una query per ottenere tutte le assegnazioni solo a livello di ambito della directory e quindi filtrare i risultati: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Le chiamate precedenti restituiscono un elenco di assegnazioni di ruolo. Individuare l'assegnazione di ruolo in cui l'ambito è "/", roleDefinitionId termina con l'ID del nome del ruolo presente nel passaggio 1 e principalId corrisponde all'objectId dell'amministratore della directory.

   Esempio di assegnazione di ruolo:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Anche in questo caso, salvare l'ID dal name parametro , in questo caso 11111111-1111-1111-1111-1111111111111.

4. Usare infine l'ID di assegnazione di ruolo per rimuovere l'assegnazione aggiunta da elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Visualizzare voci di log di accesso elevate nei log attività della directory

Quando l'accesso è elevato, viene aggiunta una voce ai log. Come global Amministrazione istrator in Microsoft Entra ID, è possibile controllare quando l'accesso è stato elevato e chi l'ha fatto. Le voci del log di accesso con privilegi elevati non vengono visualizzate nei log attività standard, ma vengono invece visualizzate nei log attività della directory. Questa sezione descrive diversi modi in cui è possibile visualizzare le voci di log di accesso elevate.

Visualizzare voci di log di accesso elevate usando il portale di Azure

1. Accedere al portale di Azure come amministratore globale.

2. Aprire Monitoraggio>log attività.

3. Modificare l'elenco attività in Attività directory.

4. Cercare l'operazione seguente, che indica l'azione di accesso con privilegi elevati.

   Assigns the caller to User Access Administrator role

   

Visualizzare voci di log di accesso elevate con l'interfaccia della riga di comando di Azure

1. Usare il comando az login per accedere come Global Amministrazione istrator.

2. Usare il comando az rest per effettuare la chiamata seguente in cui sarà necessario filtrare in base a una data, come illustrato con il timestamp di esempio e specificare un nome file in cui archiviare i log.

   Chiama url un'API per recuperare i log in Microsoft.Insights. L'output verrà salvato nel file.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Nel file di output cercare elevateAccess.

   Il log sarà simile al seguente, dove è possibile visualizzare il timestamp di quando si è verificata l'azione e chi lo ha chiamato.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegare l'accesso a un gruppo per visualizzare voci di log di accesso elevate tramite l'interfaccia della riga di comando di Azure

Se si vuole essere in grado di ottenere periodicamente le voci di log di accesso elevate, è possibile delegare l'accesso a un gruppo e quindi usare l'interfaccia della riga di comando di Azure.

1. Aprire Gruppi ID> Microsoft Entra.

2. Creare un nuovo gruppo di sicurezza e prendere nota dell'ID oggetto gruppo.

3. Usare il comando az login per accedere come Global Amministrazione istrator.

4. Usare il comando az role assignment create per assegnare il ruolo Lettore al gruppo che può leggere solo i log a livello di directory, disponibili in Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Aggiungere un utente che leggerà i log al gruppo creato in precedenza.

Un utente nel gruppo può ora eseguire periodicamente il comando az rest per visualizzare le voci del log di accesso elevate.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Passaggi successivi

• Informazioni sui diversi ruoli
• Assegnare ruoli di Azure usando l'API REST