Повышение прав доступа для управления всеми подписками Azure и группами управления

Глобальный администратор Microsoft Entra ID может не иметь прав доступа ко всем подпискам и группам управления в своем каталоге. В этой статье описываются способы, с помощью которых вы можете повысить права доступа для всех подписок и групп управления.

Примечание.

Сведения о просмотре или удалении персональных данных см. в разделе "Общие запросы субъекта данных" для GDPR, запросов субъекта данных Azure для GDPR или запросов субъектов данных Windows для GDPR в зависимости от конкретной области и потребностей. Дополнительные сведения о GDPR см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.

Для чего нужно повышение прав доступа

Если вы являетесь глобальным администратором, иногда могут возникать ситуации, требующие выполнения следующих действий:

• восстановление доступа к подписке Azure или группе управления, если пользователь потерял доступ;
• чтобы предоставить другому пользователю или самому себе доступ к подписке или группе управления Azure;
• просмотр всех подписок Azure или групп управления в организации;
• предоставление приложению автоматизации (например, приложению для выставления счетов или аудита) доступа ко всем подпискам Azure или группам управления.

Как работает повышение прав доступа

Microsoft Entra ID и ресурсы Azure защищены независимо друг от друга. То есть назначения ролей Microsoft Entra не предоставляют доступ к ресурсам Azure, а назначения ролей Azure не предоставляют доступ к Microsoft Entra ID. Однако глобальный администратор в Microsoft Entra ID может назначить себе права доступа для управления всеми подписками Azure и группами управления в вашем каталоге. Эту возможность следует использовать, если у вас нет доступа к ресурсам в подписке Azure, например к виртуальным машинам или учетным записям хранения, и вы хотите использовать свои привилегии глобального администратора для получения доступа к этим ресурсам.

При повышении прав доступа вам будет назначена роль администратора доступа пользователей в Azure, охватывающая корень каталога (/). Это позволяет просматривать все ресурсы и назначать доступ в любой подписке или группе управления в каталоге. Назначения роли администратора доступа пользователей можно удалить с помощью Azure PowerShell, Azure CLI или REST API.

После внесения изменений, которые необходимо выполнить на уровне корня, следует удалить этот повышенный уровень доступа.

Выполнение шагов в корневой области

Портал Azure

Шаг 1. Повышение доступа для глобального администратора

Выполните следующие действия, чтобы повысить права доступа глобального администратора с помощью портала Azure.

1. Войдите на портал Azure как глобальный администратор.

   Если вы используете microsoft Entra управление привилегированными пользователями, активируйте назначение роли глобального администратора.

2. Откройте Microsoft Entra ID.

3. В разделе Управление выберите Свойства.

   

4. В разделе Управление доступом для ресурсов Azure установите значение Да.

   

   Когда вы переводите этот переключатель в положение Да, вам назначается роль администратора доступа пользователей в Azure RBAC с корнем каталога (/) в качестве области действия. Это дает вам разрешение на назначение ролей во всех подписках Azure и группах управления, связанных с этим каталогом Microsoft Entra. Этот переключатель доступен только для пользователей, которым назначена роль глобального администратора в идентификаторе Microsoft Entra.

   Если для переключателя задать значение Нет, роль администратора доступа пользователей в Azure RBAC будет удалена из вашей учетной записи. Вы больше не можете назначать роли во всех подписках Azure и группах управления, связанных с этим каталогом Microsoft Entra. Вы сможете просматривать (и управлять ими) только подписки и группы управления Azure, к которым вам был предоставлен доступ.

   Примечание.

   Если вы используете Privileged Identity Management, деактивация назначения ролей не приводит к перемещению переключателя Управление доступом для ресурсов Azure в положение Нет. Чтобы поддерживать минимально необходимый уровень привилегий, установите этот переключатель в положение Нет перед отключением назначения роли.

5. Нажмите кнопку Сохранить, чтобы сохранить настройки.

   Этот параметр не является глобальным свойством и применяется только к текущему выполнившему вход пользователю. Вы не можете повысить права доступа для всех членов роли глобального администратора.

6. Выйдите из системы и войдите снова, чтобы обновить доступ.

   Теперь у вас есть доступ ко всем подпискам и группам управления в своем каталоге. Теперь на панели управления доступом (IAM) вы увидите, что вам назначена роль администратора доступа пользователей в корневой области.

   

7. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью портала Azure. Если вы используете Privileged Identity Management, воспользуйтесь инструкциями в статье Обнаружение ресурсов Azure для управления ими с помощью Privileged Identity Management (PIM) или Назначение ролей для доступа к ресурсам Azure с помощью службы "Управление привилегированными пользователями".

8. Выполните действия, описанные в следующем разделе, чтобы удалить доступ с повышенными правами.

Шаг 2. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/), выполните следующие шаги.

1. Войдите в систему от имени пользователя, которого вы использовали для повышения уровня доступа.

2. В списке навигации щелкните идентификатор Microsoft Entra и выберите пункт "Свойства".

3. Переведите переключатель Управление доступом для ресурсов Azure в положение Нет. Так как это параметр для отдельного пользователя, необходимо войти как тот же пользователь, который использовался для повышения доступа.

   Если вы попытаетесь удалить назначение роли администратора доступа пользователей с помощью панели управления доступом (IAM), вы увидите следующее сообщение. Чтобы удалить это назначение роли, необходимо перевести переключатель в положение Нет или воспользоваться Azure PowerShell, Azure CLI или REST API.

   

4. Выполните выход пользователя с правами глобального администратора.

   Если вы используете Privileged Identity Management, отключите назначение роли глобального администратора.

   Примечание.

   Если вы используете Privileged Identity Management, деактивация назначения ролей не приводит к перемещению переключателя Управление доступом для ресурсов Azure в положение Нет. Чтобы поддерживать минимально необходимый уровень привилегий, установите этот переключатель в положение Нет перед отключением назначения роли.

PowerShell

Шаг 1. Повышение доступа для глобального администратора

Используйте портал Azure или REST API для повышения доступа для глобального администратора.

Шаг 2. Перечисление назначения ролей в корневой области (/)

Получив повышенный доступ, чтобы получить список назначения роли администратора доступа пользователей для пользователя в корневой области (/), используйте команду Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Шаг 3. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/) у себя или у другого пользователя, выполните следующие действия.

1. Войдите в систему как пользователь, который может удалить повышенный уровень доступа. Это может быть тот же пользователь, который использовался для повышения прав доступа, или любой другой глобальный администратор с повышенными правами доступа в корневой области.

2. Чтобы удалить назначение роли администратора доступа пользователей, воспользуйтесь командой Remove-AzRoleAssignment.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Шаг 1. Повышение доступа для глобального администратора

Чтобы повысить права доступа глобального администратора с помощью Azure CLI, выполните приведенные ниже основные действия.

1. Используйте команду az rest, чтобы вызвать конечную точку elevateAccess, которая предоставляет роль администратора доступа пользователей в корневой области (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью Azure CLI.

3. Выполните действия, описанные в разделе ниже, чтобы удалить доступ с повышенными правами.

Шаг 2. Перечисление назначения ролей в корневой области (/)

Получив повышенный доступ, чтобы вывести список назначения роли администратора доступа пользователей для пользователя в корневой области (/), используйте команду az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Шаг 3. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/) у себя или у другого пользователя, выполните следующие действия.

1. Войдите в систему как пользователь, который может удалить повышенный уровень доступа. Это может быть тот же пользователь, который использовался для повышения прав доступа, или любой другой глобальный администратор с повышенными правами доступа в корневой области.

2. Чтобы удалить назначение роли администратора доступа пользователей, воспользуйтесь командой az role assignment delete.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Необходимые компоненты

Необходимо использовать следующие версии:

• 2015-07-01 или более поздней версии для перечисления и удаления назначений ролей
• 2016-07-01 или более поздней версии для повышения доступа
• 2018-07-01-preview или более поздней версии для перечисления отклонений назначений

Дополнительные сведения см. в версиях API Azure RBAC REST APIs.

Шаг 1. Повышение доступа для глобального администратора

Чтобы повысить права доступа глобального администратора с помощью REST API, выполните приведенные ниже основные действия.

1. В REST API вызовите действие elevateAccess, которое предоставит вам роль администратора доступа пользователей в корневой области (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью REST API.

3. Выполните действия, описанные в разделе ниже, чтобы удалить доступ с повышенными правами.

Шаг 2. Вывод списка назначений ролей в корневой области (/)

Получив повышенный доступ, вы можете перечислить все назначения ролей для пользователя в корневой области (/).

• Вызов назначений ролей — список для области , где {objectIdOfUser} находится идентификатор объекта пользователя, назначения ролей которого требуется получить.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Шаг 3. Вывод списка запрещенных назначений в корневой области (/)

Получив повышенный доступ, вы можете перечислить все назначения запрета для пользователя в корневой области (/).

• Назначение запрета вызова — список для области , где {objectIdOfUser} находится идентификатор объекта пользователя, чьи назначения запрета требуется извлечь.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Шаг 4. Удаление повышенного доступа

При вызове elevateAccess для вас создается назначение роли, а для отзыва этих привилегий необходимо удалить назначение роли администратора доступа пользователей в корневой области (/).

1. Определения ролей вызова— получениеroleName, где равен администратору доступа пользователей, чтобы определить идентификатор имени роли администратора доступа пользователей.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Сохраните ИД из параметра name. В этом случае — 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Также необходимо вывести назначений ролей для администратора каталога в области каталога. Выведите список всех назначений в области каталога для principalId администратора каталога, совершившего вызов для повышения прав доступа. При этом будут перечислены все назначения в каталоге для objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Примечание.

   У администратора каталога не должно быть много назначений. Если предыдущий запрос возвращает слишком много назначений, можно запросить все назначения только на уровне области каталога, а затем отфильтровать результаты: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope().

3. Предыдущие вызовы возвращают список назначения ролей. Найдите назначение роли, у которого задана область "/" и roleDefinitionId заканчивается значением ИД имени роли, найденным на шаге 1, а principalId совпадает со значением objectId администратора каталога.

   Пример назначения ролей:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Сохраните идентификатор из параметра name, который в нашем примере имеет значение 11111111-1111-1111-1111-111111111111.

4. Наконец, используйте ИД назначения роли, чтобы удалить назначение, добавленное elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Просмотр записей журнала повышения прав доступа в журналах действий каталога

При повышении доступа запись добавляется в журналы. Как глобальный администратор в идентификаторе Microsoft Entra, вы можете проверить, когда доступ был повышен и кто это сделал. Записи журнала повышенного доступа не отображаются в стандартных журналах действий, но вместо этого отображаются в журналах действий каталога. В этом разделе описаны различные способы просмотра записей журнала повышенного доступа.

Просмотр записей журнала повышения прав доступа с помощью портал Azure

1. Войдите на портал Azure как глобальный администратор.

2. Откройте журнал действий монитора>.

3. Измените список действий на действие каталога.

4. Выполните поиск следующей операции, которая означает действие повышенного доступа.

   Assigns the caller to User Access Administrator role

   

Просмотр записей журнала повышения прав доступа с помощью Azure CLI

1. Используйте команду az login для входа в качестве глобального администратора.

2. Используйте команду az rest, чтобы выполнить следующий вызов, где необходимо отфильтровать по дате, как показано в примере метки времени и указать имя файла, в котором должны храниться журналы.

   Вызывает url API для получения журналов в Microsoft.Insights. Выходные данные будут сохранены в файле.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. В выходном файле выполните поиск elevateAccess.

   Журнал будет выглядеть следующим образом, где можно увидеть метку времени, когда произошло действие и кто его вызвал.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Делегирование доступа к группе для просмотра записей журнала повышения прав доступа с помощью Azure CLI

Если вы хотите периодически получать записи журнала повышенного доступа, вы можете делегировать доступ к группе, а затем использовать Azure CLI.

1. Откройте группы идентификаторов>Microsoft Entra.

2. Создайте новую группу безопасности и запишите идентификатор объекта группы.

3. Используйте команду az login для входа в качестве глобального администратора.

4. Используйте команду az role assignment create, чтобы назначить роль читателя группе, которая может читать журналы только на уровне каталога, которые находятся на Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Добавьте пользователя, который будет считывать журналы в ранее созданную группу.

Пользователь в группе теперь может периодически запускать команду az rest , чтобы просмотреть записи журнала повышенных прав доступа.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Следующие шаги

• Общие сведения о различных ролях
• Назначение ролей Azure с помощью REST API