Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania

Jako administrator globalny w usłudze Azure Active Directory (Azure AD) możesz nie mieć dostępu do wszystkich subskrypcji i grup zarządzania w katalogu. W tym artykule opisano sposoby podniesienia poziomu dostępu do wszystkich subskrypcji i grup zarządzania.

Uwaga

Aby uzyskać informacje dotyczące wyświetlania lub usuwania danych osobowych, zobacz Azure Data Subject Requests for the GDPR (Żądania podmiotów danych dotyczące RODO na platformie Azure). Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO w Centrum zaufania Firmy Microsoft i w sekcji RODO w portalu Service Trust Portal.

W jakich sytuacjach możesz potrzebować podniesienia poziomu uprawnień dostępu?

Jeśli jesteś administratorem globalnym, czasami możesz wykonać następujące czynności:

  • Odzyskaj dostęp do subskrypcji platformy Azure lub grupy zarządzania, gdy użytkownik utracił dostęp
  • Przyznać innemu użytkownikowi lub sobie samemu dostęp do subskrypcji platformy Azure lub grupy zarządzania
  • Wyświetlanie wszystkich subskrypcji platformy Azure lub grup zarządzania w organizacji
  • Zezwalanie aplikacji automatyzacji (takiej jak fakturowanie lub inspekcja aplikacji) na dostęp do wszystkich subskrypcji platformy Azure lub grup zarządzania

Jak działa dostęp z podniesionymi uprawnieniami?

Usługa Azure AD i zasoby platformy Azure są zabezpieczone niezależnie od siebie. Oznacza to, że przypisania ról usługi Azure AD nie zapewniają dostępu do zasobów platformy Azure, a przypisania ról platformy Azure nie zapewniają dostępu do usługi Azure AD. Jeśli jednak jesteś administratorem globalnym w Azure AD, możesz przypisać sobie dostęp do wszystkich subskrypcji platformy Azure i grup zarządzania w katalogu. Użyj tej funkcji, jeśli nie masz dostępu do zasobów subskrypcji platformy Azure, takich jak maszyny wirtualne lub konta magazynu, i chcesz użyć uprawnień administratora globalnego, aby uzyskać dostęp do tych zasobów.

Po podniesieniu poziomu dostępu zostanie przypisana rola Administrator dostępu użytkowników na platformie Azure w zakresie głównym (/). Pozwoli Ci to wyświetlać wszystkie zasoby i przypisywać dostęp w dowolnej subskrypcji lub grupie zarządzania w katalogu. Przypisania ról administratora dostępu użytkowników można usunąć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Po wprowadzeniu zmian, które należało wprowadzić w zakresie katalogu głównego, ten podwyższony poziom dostępu należy usunąć.

Podnoszenie poziomu dostępu

Azure Portal

Podnoszenie poziomu dostępu dla administratora globalnego

Wykonaj następujące kroki, aby podwyższyć poziom dostępu administratora globalnego przy użyciu Azure Portal.

  1. Zaloguj się do witryny Azure Portal lub Centrum administracyjnego usługi Azure Active Directory jako administrator globalny.

    Jeśli używasz Azure AD Privileged Identity Management, aktywuj przypisanie roli administratora globalnego.

  2. Otwórz usługę Azure Active Directory.

  3. W obszarze Zarządzanie wybierz pozycję Właściwości.

    Wybieranie właściwości usługi Azure Active Directory — zrzut ekranu

  4. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik Tak.

    Zarządzanie dostępem do zasobów platformy Azure — zrzut ekranu

    Po ustawieniu przełącznika na Wartość Tak zostanie przypisana rola Administratora dostępu użytkowników w kontroli dostępu opartej na rolach platformy Azure w zakresie głównym (/). Daje to uprawnienie do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem Azure AD. Ten przełącznik jest dostępny tylko dla użytkowników, którzy mają przypisaną rolę administratora globalnego w Azure AD.

    Po ustawieniu przełącznika na Nie rola administratora dostępu użytkowników w kontroli dostępu na podstawie ról platformy Azure zostanie usunięta z konta użytkownika. Nie można już przypisywać ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem Azure AD. Możesz wyświetlać tylko subskrypcje platformy Azure i grupy zarządzania, do których udzielono ci dostępu i zarządzać nimi.

    Uwaga

    Jeśli używasz Privileged Identity Management, dezaktywacja przypisania roli nie zmienia przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

  5. Kliknij przycisk Zapisz , aby zapisać ustawienie.

    To ustawienie nie jest właściwością globalną i ma zastosowanie tylko do aktualnie zalogowanego użytkownika. Nie można podnieść poziomu dostępu dla wszystkich członków roli administratora globalnego.

  6. Wyloguj się i zaloguj się ponownie, aby odświeżyć dostęp.

    Teraz musisz mieć dostęp do wszystkich subskrypcji i grup zarządzania w katalogu. Po wyświetleniu okienka Kontrola dostępu (Zarządzanie dostępem i tożsamościami) zauważysz, że masz przypisaną rolę administratora dostępu użytkowników w zakresie głównym.

    Zrzut ekranu przedstawiający przypisania ról subskrypcji z zakresem głównym

  7. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

    Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal. Jeśli używasz Privileged Identity Management, zobacz Odnajdywanie zasobów platformy Azure w celu zarządzania rolamizasobów platformy Azure lub przypisywania ich.

  8. Wykonaj kroki opisane w poniższej sekcji, aby usunąć podwyższony poziom dostępu.

Usuwanie podniesionych uprawnień dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników w zakresie głównym (/), wykonaj następujące kroki.

  1. Zaloguj się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

  2. Na liście nawigacji kliknij pozycję Azure Active Directory , a następnie kliknij pozycję Właściwości.

  3. Ustaw przełącznik Zarządzanie dostępem dla zasobów platformy Azure z powrotem na nie. Ponieważ jest to ustawienie dla poszczególnych użytkowników, musisz zalogować się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

    Jeśli spróbujesz usunąć przypisanie roli Administrator dostępu użytkowników w okienku Kontrola dostępu (IAM), zostanie wyświetlony następujący komunikat. Aby usunąć przypisanie roli, należy ustawić przełącznik z powrotem na Nie lub użyć Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

    Usuwanie przypisań ról z zakresem głównym

  4. Wyloguj się jako administrator globalny.

    Jeśli używasz Privileged Identity Management, dezaktywuj przypisanie roli administratora globalnego.

    Uwaga

    Jeśli używasz Privileged Identity Management, dezaktywacja przypisania roli nie zmienia przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

Azure PowerShell

Uwaga

Aby korzystać z platformy Azure, zalecany jest moduł Azure Az programu PowerShell. Zobacz Instalowanie Azure PowerShell, aby rozpocząć pracę. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wyświetlanie listy przypisań ról w zakresie głównym (/)

Aby wyświetlić listę przypisania roli administratora dostępu użytkowników dla użytkownika w zakresie głównym (/), użyj polecenia Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Usuwanie podniesionych uprawnień dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

  1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem dostępu w zakresie głównym.

  2. Użyj polecenia Remove-AzRoleAssignment , aby usunąć przypisanie roli Administrator dostępu użytkowników.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Interfejs wiersza polecenia platformy Azure

Podnoszenie poziomu dostępu dla administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu wiersza polecenia platformy Azure, wykonaj następujące podstawowe kroki.

  1. Użyj polecenia az rest , aby wywołać elevateAccess punkt końcowy, który przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

    Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Wyświetlanie listy przypisań ról w zakresie głównym (/)

Aby wyświetlić listę przypisań ról administratora dostępu użytkowników dla użytkownika w zakresie głównym (/), użyj polecenia az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Usuwanie podniesionych uprawnień dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

  1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem dostępu w zakresie głównym.

  2. Użyj polecenia az role assignment delete , aby usunąć przypisanie roli Administrator dostępu użytkowników.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

Interfejs API REST

Podnoszenie poziomu dostępu dla administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu API REST, wykonaj następujące podstawowe kroki.

  1. Przy użyciu interfejsu REST wywołaj metodę elevateAccess, która przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

    Aby uzyskać informacje o przypisywaniu ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu API REST.

  3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Wyświetlanie listy przypisań ról w zakresie głównym (/)

Możesz wyświetlić listę wszystkich przypisań ról dla użytkownika w zakresie głównym (/).

  • Wywołaj metodę GET rolePrzypisania , gdzie {objectIdOfUser} jest identyfikatorem obiektu użytkownika, którego przypisania ról chcesz pobrać.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Wyświetlanie listy przypisań odmowy w zakresie głównym (/)

Możesz wyświetlić listę wszystkich przypisań odmowy dla użytkownika w zakresie głównym (/).

  • Wywołaj metodę GET denyAssignments, gdzie {objectIdOfUser} jest identyfikatorem obiektu użytkownika, którego przypisania odmowy chcesz pobrać.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Usuwanie podniesionych uprawnień dostępu

Podczas wywoływania elevateAccessmetody należy utworzyć przypisanie roli dla siebie, aby odwołać te uprawnienia, musisz usunąć przypisanie roli Administrator dostępu użytkowników dla siebie w zakresie głównym (/).

  1. Wywołaj metodę GET roleDefinitions , gdzie roleName równa się Administrator dostępu użytkowników, aby określić identyfikator nazwy roli Administrator dostępu użytkowników.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Zapisz identyfikator z parametru name , w tym przypadku 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. Należy również wyświetlić listę przypisań ról dla administratora katalogu w zakresie katalogu. Wyświetl listę wszystkich przypisań w zakresie katalogu dla principalId administratora katalogu, który wykonał wywołanie podwyższonego poziomu dostępu. Spowoduje to wyświetlenie listy wszystkich przypisań w katalogu dla identyfikatora objectid.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Uwaga

    Administrator katalogu nie powinien mieć wielu przypisań, jeśli poprzednie zapytanie zwraca zbyt wiele przypisań, możesz również wykonać zapytanie dotyczące wszystkich przypisań tylko na poziomie zakresu katalogu, a następnie odfiltrować wyniki: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

  3. Poprzednie wywołania zwracają listę przypisań ról. Znajdź przypisanie roli, w którym znajduje "/" się zakres, a roleDefinitionId kończy się identyfikatorem nazwy roli znalezionym w kroku 1 i principalId pasuje do identyfikatora objectId administratora katalogu.

    Przykładowe przypisanie roli:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Ponownie zapisz identyfikator z parametru name , w tym przypadku 111111111-1111-1111-1111-11111111111111.

  4. Na koniec użyj identyfikatora przypisania roli, aby usunąć przypisanie dodane przez elevateAccess:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2015-07-01
    

Wyświetlanie dzienników podwyższonego poziomu dostępu

Po podwyższeniu poziomu uprawnień dostępu do dzienników zostanie dodany wpis. Jako administrator globalny w Azure AD możesz sprawdzić, kiedy dostęp został podwyższony i kto to zrobił. Podniesione wpisy dziennika dostępu nie są wyświetlane w standardowych dziennikach aktywności, ale zamiast tego są wyświetlane w dziennikach aktywności katalogu. W tej sekcji opisano różne sposoby wyświetlania dzienników podwyższonego poziomu dostępu.

Wyświetlanie dzienników dostępu z podwyższonym poziomem uprawnień przy użyciu Azure Portal

  1. Wykonaj kroki opisane wcześniej w tym artykule, aby podnieść poziom dostępu.

  2. Zaloguj się do Azure Portal jako administrator globalny.

  3. Otwórzdziennik aktywności monitora>.

  4. Zmień listę działań na Działanie katalogu.

  5. Wyszukaj następującą operację, która oznacza akcję podniesienia poziomu dostępu.

    Assigns the caller to User Access Administrator role

    Zrzut ekranu przedstawiający dzienniki aktywności katalogu w monitorze.

  6. Wykonaj kroki opisane wcześniej w tym artykule, aby usunąć podwyższony poziom dostępu.

Wyświetlanie dzienników podwyższonego poziomu dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

  1. Wykonaj kroki opisane wcześniej w tym artykule, aby podnieść poziom dostępu.

  2. Użyj polecenia az login , aby zalogować się jako administrator globalny.

  3. Użyj polecenia az rest , aby wykonać następujące wywołanie, w którym należy filtrować według daty, jak pokazano na przykładowym znaczniku czasu i określić nazwę pliku, w którym mają być przechowywane dzienniki.

    Wywołanie url interfejsu API w celu pobrania dzienników w usłudze Microsoft.Insights. Dane wyjściowe zostaną zapisane w pliku.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  4. W pliku wyjściowym wyszukaj ciąg elevateAccess.

    Dziennik będzie podobny do poniższego, gdzie można zobaczyć znacznik czasu wystąpienia akcji i kto ją nazwał.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    
  5. Wykonaj kroki opisane wcześniej w tym artykule, aby usunąć podwyższony poziom dostępu.

Delegowanie dostępu do grupy w celu wyświetlenia dzienników podwyższonego poziomu dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

Jeśli chcesz okresowo uzyskiwać dzienniki podwyższonego poziomu dostępu, możesz delegować dostęp do grupy, a następnie użyć interfejsu wiersza polecenia platformy Azure.

  1. Otwórzpozycję Grupyusługi Azure Active Directory>.

  2. Utwórz nową grupę zabezpieczeń i zanotuj identyfikator obiektu grupy.

  3. Wykonaj kroki opisane wcześniej w tym artykule, aby podnieść poziom dostępu.

  4. Użyj polecenia az login , aby zalogować się jako administrator globalny.

  5. Użyj polecenia az role assignment create , aby przypisać rolę Czytelnik do grupy, która może odczytywać tylko dzienniki na poziomie katalogu, które znajdują się na poziomie Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  6. Dodaj użytkownika, który odczytuje dzienniki do wcześniej utworzonej grupy.

  7. Wykonaj kroki opisane wcześniej w tym artykule, aby usunąć podwyższony poziom dostępu.

Użytkownik w grupie może teraz okresowo uruchamiać polecenie az rest , aby wyświetlić dzienniki podwyższonego poziomu dostępu.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Następne kroki