Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren

  • Artikel

Als globale beheerder in Microsoft Entra ID hebt u mogelijk geen toegang tot alle abonnementen en beheergroepen in uw directory. In dit artikel worden de manieren beschreven waarop u de toegang tot alle abonnementen en beheergroepen kunt uitbreiden.

Notitie

Voor meer informatie over persoonsgegevens bekijken of verwijderen, raadpleegt u AVG-verzoeken van betrokkenen voor Azure. Zie de AVG-sectie van het Microsoft Trust Center en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG.

Waarom zou u uw toegang moeten verhogen?

Als u een globale Beheer istrator bent, kan het voorkomen dat u de volgende acties wilt uitvoeren:

  • Opnieuw toegang krijgen tot een Azure-abonnement of -beheergroep wanneer een gebruiker geen toegang meer heeft
  • Een andere gebruiker of uzelf toegang te verlenen tot een Azure-abonnement of -beheergroep
  • Alle Azure-abonnementen of -beheergroepen in een organisatie bekijken
  • Een automation-app (zoals een facturerings- of controle-app) toegang geven tot alle Azure-abonnementen of -beheergroepen

Hoe werkt verhoogde toegang?

Microsoft Entra ID en Azure-resources zijn onafhankelijk van elkaar beveiligd. Dit betekent dat Microsoft Entra-roltoewijzingen geen toegang verlenen tot Azure-resources en Azure-roltoewijzingen geen toegang verlenen tot Microsoft Entra ID. Als u echter een globale beheerder in Microsoft Entra ID bent, kunt u uzelf toegang geven tot alle Azure-abonnementen en -beheergroepen in uw directory. Gebruik deze mogelijkheid als u geen toegang hebt tot Azure-abonnementsresources, zoals virtuele machines of opslagaccounts, en u uw globale beheerdersrechten wilt gebruiken om toegang te krijgen tot deze resources.

Wanneer u uw toegang verhoogt, krijgt u de rol Gebruikerstoegang Beheer istrator in Azure toegewezen op het hoofdbereik (/). Hiermee kunt u alle resources weergeven en toegang toewijzen in elk abonnement of elke beheergroep in de directory. Toewijzingen van de rol Administrator voor gebruikerstoegang kunnen worden verwijderd met Azure PowerShell, Azure CLI of de REST API.

U moet deze verhoogde toegang verwijderen nadat u de wijzigingen hebt aangebracht voor het hoofdbereik.

Elevate access

Stappen uitvoeren in het hoofdbereik

Stap 1: Toegang verhogen voor een globale Beheer istrator

Volg deze stappen om de toegang voor een global Beheer istrator uit te breiden met behulp van Azure Portal.

  1. Meld u aan bij de Azure Portal als globale beheerder.

    Als u Microsoft Entra Privileged Identity Management gebruikt, activeert u de roltoewijzing global Beheer istrator.

  2. Open Microsoft Entra ID.

  3. Selecteer Eigenschappen onder Beheren.

    Select Properties for Microsoft Entra properties - screenshot

  4. Stel onder Toegangsbeheer voor Azure-resources de wisselknop in op Ja.

    Access management for Azure resources - screenshot

    Wanneer u de wisselknop instelt op Ja, krijgt u de rol Gebruikerstoegang Beheer istrator in Azure RBAC toegewezen voor het hoofdbereik (/). Hiermee verleent u toestemming om rollen toe te wijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-directory. Deze wisselknop is alleen beschikbaar voor gebruikers aan wie de rol Global Beheer istrator is toegewezen in Microsoft Entra-id.

    Wanneer u de wisselknop instelt op Nee, wordt de rol Gebruikerstoegang Beheer istrator in Azure RBAC verwijderd uit uw gebruikersaccount. U kunt geen rollen meer toewijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-directory. U kunt alleen de Azure-abonnementen en -beheergroepen waartoe u toegang hebt gekregen bekijken en beheren.

    Notitie

    Als u Privileged Identity Management gebruikt, verandert het uitschakelen van uw roltoewijzing niet in Nee van het toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

  5. Klik op Opslaan om uw instelling op te slaan.

    Deze instelling is geen globale eigenschap en is alleen van toepassing op de momenteel aangemelde gebruiker. U kunt de toegang voor alle leden van de rol Global Beheer istrator niet verhogen.

  6. Meld u af en weer aan om uw toegang te vernieuwen.

    U hebt nu toegang tot alle abonnementen en beheergroepen in uw directory. Wanneer u het deelvenster Toegangsbeheer (IAM) bekijkt, ziet u dat u de rol Gebruikerstoegang Beheer istrator bij het hoofdbereik hebt toegewezen.

    Subscription role assignments with root scope - screenshot

  7. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

    Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van rollen. Als u Privileged Identity Management gebruikt, raadpleegt u Ontdek Azure-resources om Azure-resourcerollen te beheren of toe te wijzen.

  8. Voer de stappen in de volgende sectie uit om uw verhoogde toegang te verwijderen.

Stap 2: verhoogde toegang verwijderen

Volg deze stappen als u de roltoewijzing voor gebruikerstoegang Beheer istrator bij het hoofdbereik (/) wilt verwijderen.

  1. Meld u aan als dezelfde gebruiker die is gebruikt om de toegang te verhogen.

  2. Klik in de navigatielijst op Microsoft Entra-id en klik vervolgens op Eigenschappen.

  3. Stel het toegangsbeheer voor Azure-resources in op Nee. Omdat dit een instelling per gebruiker is, moet u zijn aangemeld als dezelfde gebruiker als die is gebruikt om de toegang te verhogen.

    Als u de roltoewijzing gebruikerstoegang Beheer istrator wilt verwijderen in het deelvenster Toegangsbeheer (IAM), ziet u het volgende bericht. Als u de roltoewijzing wilt verwijderen, moet u de wisselknop terugzetten op Nee of Azure PowerShell, Azure CLI of de REST API gebruiken.

    Remove role assignments with root scope

  4. Meld u af als Global Beheer istrator.

    Als u Privileged Identity Management gebruikt, moet u de roltoewijzing global Beheer istrator deactiveren.

    Notitie

    Als u Privileged Identity Management gebruikt, verandert het uitschakelen van uw roltoewijzing niet in Nee van het toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

Vermeldingen van toegangslogboeken uitbreiden in de logboeken van directoryactiviteit

Wanneer de toegang is verhoogd, wordt een vermelding toegevoegd aan de logboeken. Als global Beheer istrator in Microsoft Entra ID kunt u controleren wanneer de toegang is verhoogd en wie dit heeft gedaan. Vermeldingen voor toegangslogboeken verhogen worden niet weergegeven in de standaardactiviteitenlogboeken, maar worden in plaats daarvan weergegeven in de logboeken voor adreslijstactiviteiten. In deze sectie worden verschillende manieren beschreven waarop u de vermeldingen in het toegangslogboek kunt bekijken.

Vermeldingen in toegangslogboeken uitbreiden met behulp van De Azure-portal

  1. Meld u aan bij de Azure Portal als globale beheerder.

  2. Open activiteitenlogboek bewaken>.

  3. Wijzig de lijst Met activiteiten in Directory-activiteit.

  4. Zoek naar de volgende bewerking, waarmee de toegangsactie wordt geëxtificeerd.

    Assigns the caller to User Access Administrator role

    Screenshot showing directory activity logs in Monitor.

Vermeldingen in toegangslogboeken uitbreiden met behulp van Azure CLI

  1. Gebruik de opdracht az login om u aan te melden als Global Beheer istrator.

  2. Gebruik de az rest-opdracht om de volgende aanroep uit te voeren, waarbij u moet filteren op een datum, zoals wordt weergegeven met het voorbeeld van een tijdstempel en een bestandsnaam opgeven waarin u de logboeken wilt opslaan.

    Hiermee url wordt een API aangeroepen om de logboeken op te halen in Microsoft.Insights. De uitvoer wordt opgeslagen in uw bestand.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

  3. Zoek in het uitvoerbestand naar elevateAccess.

    Het logboek ziet er ongeveer als volgt uit waar u de tijdstempel kunt zien van wanneer de actie heeft plaatsgevonden en wie de actie heeft aangeroepen.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
  "subscriptionId": "",
  "tenantId": "33333333-3333-3333-3333-333333333333"
},
{
  "authorization": {
    "action": "Microsoft.Authorization/elevateAccess/action",
    "scope": "/providers/Microsoft.Authorization"
  },
  "caller": "user@example.com",
  "category": {
    "localizedValue": "Administrative",
    "value": "Administrative"
  },

Toegang tot een groep delegeren om vermeldingen in toegangslogboeken te verhogen met behulp van Azure CLI

Als u periodiek toegangslogboekvermeldingen wilt kunnen ophalen, kunt u de toegang tot een groep delegeren en vervolgens Azure CLI gebruiken.

  1. Open Microsoft Entra ID-groepen>.

  2. Maak een nieuwe beveiligingsgroep en noteer de groepsobject-id.

  3. Gebruik de opdracht az login om u aan te melden als Global Beheer istrator.

  4. Gebruik de opdracht az role assignment create om de rol Lezer toe te wijzen aan de groep die alleen logboeken op directoryniveau kan lezen, die te vinden zijn op Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"

  5. Voeg een gebruiker toe die logboeken leest aan de eerder gemaakte groep.

Een gebruiker in de groep kan nu periodiek de az rest-opdracht uitvoeren om vermeldingen in het toegangslogboek weer te geven.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Volgende stappen