사용자가 액세스 권한을 상실할 때 Azure 구독 또는 관리 그룹에 대한 액세스 권한 다시 얻기
다른 사용자에게 Azure 구독 또는 관리 그룹에 대한 액세스 권한 부여
조직에서 모든 Azure 구독 또는 관리 그룹 확인
자동화 앱(예: 청구서 또는 감사 앱)이 모든 Azure 구독 또는 관리 그룹에 액세스할 수 있도록 허용
상승된 액세스 권한은 어떻게 작동하나요?
Microsoft Entra ID 및 Azure 리소스는 서로 독립적으로 보호됩니다. 즉, Microsoft Entra 역할을 할당해도 Azure 리소스에 대한 액세스가 부여되지 않고, Azure 역할을 할당해도 Microsoft Entra ID에 대한 액세스가 부여되지 않습니다. 그러나 Microsoft Entra ID의 글로벌 관리자는 디렉터리에 있는 모든 Azure 구독 및 관리 그룹에 대한 액세스 권한을 자신에게 할당할 수 있습니다. 가상 머신이나 스토리지 계정 같은 Azure 구독 리소스에 액세스할 수 없고, 글로벌 관리자 권한을 사용하여 이러한 리소스에 대한 액세스 권한을 얻고 싶으면 이 기능을 사용하세요.
액세스 권한을 상승하면 루트 범위(/)에서 Azure에서 사용자 액세스 관리istrator 역할이 할당됩니다. 이를 통해 모든 리소스를 살펴보고, 디렉터리에 있는 구독 또는 관리 그룹에 대한 액세스 권한을 할당할 수 있습니다. 사용자 액세스 관리자 역할 할당은 Azure PowerShell, Azure CLI 또는 REST API를 사용하여 제거할 수 있습니다.
토글을 예로 설정하면 루트 범위(/)에서 Azure RBAC의 사용자 액세스 관리이스트레이터 역할이 할당됩니다. 그러면 이 Microsoft Entra 디렉터리와 연결된 모든 Azure 구독 및 관리 그룹의 역할을 할당할 수 있는 권한이 부여됩니다. 이 토글은 Microsoft Entra ID에서 글로벌 관리자 역할이 할당된 사용자만 사용할 수 있습니다.
토글을 아니요로 설정하면 Azure RBAC의 사용자 액세스 관리자 역할이 사용자 계정에서 제거됩니다. 그러면 이 Microsoft Entra 디렉터리와 연결된 모든 Azure 구독 및 관리 그룹의 역할을 더 이상 할당할 수 없습니다. 액세스 권한이 부여된 Azure 구독 및 관리 그룹만 살펴보고 관리할 수 있습니다.
참고 항목
Privileged Identity Management를 사용하는 경우 역할 할당을 비활성화해도 Azure 리소스에 대한 액세스 관리 토글이 아니요로 변경되지 않습니다. 최소 권한 있는 액세스를 유지 관리하려면 역할 할당을 비활성화하기 전에 이 토글을 아니요로 설정하는 것이 좋습니다.
Save를 클릭하여 설정을 저장합니다.
이 설정은 글로벌 속성이 아니며 현재 로그인된 사용자에게만 적용됩니다. 글로벌 관리자 역할의 모든 멤버에 대한 액세스 권한을 상승시킬 수 없습니다.
로그아웃하고 다시 로그인하여 액세스를 새로 고칩니다.
이제 이 디렉터리의 모든 구독 및 관리 그룹에 대한 액세스 권한을 갖습니다. 액세스 제어(IAM) 창을 보면 루트 범위에서 사용자 액세스 관리자 역할이 할당된 것을 알 수 있습니다.
상승된 액세스 권한으로 수행해야 하는 변경을 수행합니다.
역할 할당에 대한 자세한 내용은 Azure Portal을 사용하여 Azure 역할 할당을 참조 하세요. Privileged Identity Management를 사용하는 경우 Azure 리소스 검색을 참조하여 Azure 리소스 역할을 관리하거나 할당합니다.
다음 섹션의 단계를 수행하여 상승된 액세스 권한을 제거합니다.
2단계: 관리자 권한 제거
루트 범위에서 사용자 액세스 관리주체 역할 할당(/)을 제거하려면 다음 단계를 수행합니다.
액세스 권한을 상승시키는 데 사용된 것과 동일한 사용자로 로그인합니다.
탐색 목록에서 Microsoft Entra ID를 클릭한 다음 속성을 클릭합니다.
Azure 리소스에 대한 액세스 관리 토글을 다시 아니요로 설정합니다. 사용자별 설정이므로 액세스 권한을 상승시키는 데 사용했던 동일한 사용자로 로그인해야 합니다.
액세스 제어(IAM) 창에서 사용자 액세스 관리자 역할 할당을 제거하려고 하면 다음 메시지가 표시됩니다. 역할 할당을 제거하려면 토글을 다시 아니요로 설정하거나 Azure PowerShell, Azure CLI 또는 REST API를 사용해야 합니다.
전역 관리자로 로그아웃합니다.
Privileged Identity Management를 사용하는 경우 전역 관리자 역할 할당을 비활성화합니다.
참고 항목
Privileged Identity Management를 사용하는 경우 역할 할당을 비활성화해도 Azure 리소스에 대한 액세스 관리 토글이 아니요로 변경되지 않습니다. 최소 권한 있는 액세스를 유지 관리하려면 역할 할당을 비활성화하기 전에 이 토글을 아니요로 설정하는 것이 좋습니다.
1단계: Global 관리istrator에 대한 액세스 권한 상승
Azure Portal 또는 REST API를 사용하여 Global 관리istrator에 대한 액세스 권한을 상승합니다.
2단계: 루트 범위에서 역할 할당 나열(/)
액세스 권한이 상승되면 루트 범위()에서 사용자에 대한 사용자 액세스 관리영구자 역할 할당을/ 나열하려면 Get-AzRoleAssignment 명령을 사용합니다.
GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
4단계: 관리자 권한 제거
호출elevateAccess할 때 역할 할당을 직접 만들므로 해당 권한을 취소하려면 루트 범위(/)에서 사용자 액세스 관리주체 역할 할당을 제거해야 합니다.
roleName이 사용자 액세스 관리자인 역할 정의 - 가져오기를 호출하여 사용자 액세스 관리자 역할의 ID 이름을 확인합니다.
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 같은 경우에 name 매개 변수의 ID를 저장합니다.
또한 디렉터리 범위에서 디렉터리 관리자의 역할 할당을 나열해야 합니다. 권한 상승 액세스 호출을 수행한 디렉터리 관리자의 디렉터리 범위 principalId 에서 모든 할당을 나열합니다. 그러면 objectid에 대한 디렉터리의 모든 할당이 나열됩니다.
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
참고 항목
디렉터리 관리자는 할당이 많지 않아야 합니다. 이전 쿼리가 너무 많은 할당을 반환하는 경우 디렉터리 범위 수준에서만 모든 할당을 쿼리한 다음 결과를 필터링할 수도 있습니다. GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()
이전 호출은 역할 할당 목록을 반환합니다. 범위가 있고 1단계에서 찾은 "/"roleDefinitionId 역할 이름 ID로 끝나는 역할 할당을 찾아 디렉터리 관리자의 objectId와 principalId 일치합니다.
액세스 권한이 상승되면 항목이 로그에 추가됩니다. Microsoft Entra ID의 Global 관리istrator는 액세스 권한이 상승된 시점과 액세스한 사용자를 검사 수 있습니다. 액세스 권한 상승 로그 항목은 표준 활동 로그에 표시되지 않고 대신 디렉터리 활동 로그에 표시됩니다. 이 섹션에서는 액세스 권한 상승 로그 항목을 볼 수 있는 다양한 방법을 설명합니다.
az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
이전에 만든 그룹에 로그를 읽을 사용자를 추가합니다.
이제 그룹의 사용자가 az rest 명령을 주기적으로 실행하여 상승 액세스 로그 항목을 볼 수 있습니다.
az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt