Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania

Jako administrator globalny w usłudze Microsoft Entra ID możesz nie mieć dostępu do wszystkich subskrypcji i grup zarządzania w katalogu. W tym artykule opisano sposoby podniesienia poziomu dostępu do wszystkich subskrypcji i grup zarządzania.

Uwaga

Aby uzyskać informacje dotyczące wyświetlania lub usuwania danych osobowych, zobacz Azure Data Subject Requests for the GDPR (Żądania podmiotów danych dotyczące RODO na platformie Azure). Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usług.

W jakich sytuacjach możesz potrzebować podniesienia poziomu uprawnień dostępu?

Jeśli jesteś administratorem globalnym Administracja istratorem, może wystąpić czas, kiedy chcesz wykonać następujące czynności:

• Odzyskiwanie dostępu do subskrypcji platformy Azure lub grupy zarządzania, gdy użytkownik utracił dostęp
• Przyznać innemu użytkownikowi lub sobie samemu dostęp do subskrypcji platformy Azure lub grupy zarządzania
• Zobacz wszystkie subskrypcje platformy Azure lub grupy zarządzania w organizacji
• Zezwalaj aplikacji automatyzacji (takiej jak fakturowanie lub inspekcja aplikacji) na dostęp do wszystkich subskrypcji platformy Azure lub grup zarządzania

Jak działa dostęp z podniesionymi uprawnieniami?

Microsoft Entra ID i zasoby Azure są zabezpieczone niezależnie od siebie. Oznacza to, że przypisania ról Microsoft Entra nie przyznają dostępu do zasobów Azure, a przypisania ról Azure nie przyznają dostępu do identyfikatora Microsoft Entra ID. Jeśli jednak jesteś Globalnym administratorem w Microsoft Entra ID, możesz przypisać sobie dostęp do wszystkich subskrypcji Azure i grup zarządzania w swoim katalogu. Użyj tej funkcji, jeśli nie masz dostępu do zasobów subskrypcji platformy Azure, takich jak maszyny wirtualne lub konta magazynu, i chcesz użyć uprawnień administratora globalnego, aby uzyskać dostęp do tych zasobów.

Po podwyższeniu poziomu dostępu zostanie przypisana rola Administracja istrator dostępu użytkowników na platformie Azure w zakresie głównym (/). Pozwoli Ci to wyświetlać wszystkie zasoby i przypisywać dostęp w dowolnej subskrypcji lub grupie zarządzania w katalogu. Przypisania ról administratora dostępu użytkowników można usunąć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Po wprowadzeniu zmian, które należało wprowadzić w zakresie katalogu głównego, ten podwyższony poziom dostępu należy usunąć.

Wykonywanie kroków w zakresie głównym

Witryna Azure Portal

Krok 1. Podnoszenie poziomu dostępu dla globalnego Administracja istratora

Wykonaj następujące kroki, aby podnieść poziom dostępu dla globalnego Administracja istratora przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny Administracja istrator.

   Jeśli używasz usługi Microsoft Entra Privileged Identity Management, aktywuj przypisanie roli globalnego Administracja istratora.

2. Otwórz Microsoft Entra ID.

3. W obszarze Zarządzanie wybierz pozycję Właściwości.

   

4. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik tak.

   

   Po ustawieniu przełącznika na Wartość Tak przypisano rolę Administracja istratora dostępu użytkowników w usłudze Azure RBAC w zakresie głównym (/). Daje to uprawnienie do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem firmy Microsoft Entra. Ten przełącznik jest dostępny tylko dla użytkowników, którzy mają przypisaną rolę Global Administracja istrator w identyfikatorze Entra firmy Microsoft.

   Po ustawieniu przełącznika na Nie rola dostępu użytkownika Administracja istrator w kontroli dostępu na podstawie ról platformy Azure zostanie usunięta z konta użytkownika. Nie można już przypisywać ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym katalogiem firmy Microsoft Entra. Możesz wyświetlać tylko subskrypcje platformy Azure i grupy zarządzania, do których udzielono ci dostępu i zarządzać nimi.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

5. Kliknij przycisk Zapisz , aby zapisać ustawienie.

   To ustawienie nie jest właściwością globalną i ma zastosowanie tylko do aktualnie zalogowanego użytkownika. Nie można podnieść poziomu dostępu dla wszystkich członków roli Global Administracja istrator.

6. Wyloguj się i zaloguj się ponownie, aby odświeżyć dostęp.

   Teraz musisz mieć dostęp do wszystkich subskrypcji i grup zarządzania w katalogu. Po wyświetleniu okienka Kontrola dostępu (Zarządzanie dostępem i tożsamościami) zauważysz, że przypisano ci rolę Administracja istrator dostępu użytkowników w zakresie głównym.

   

7. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal. Jeśli używasz usługi Privileged Identity Management, zobacz Odnajdywanie zasobów platformy Azure w celu zarządzania rolami zasobów platformy Azure lub przypisywania ich.

8. Wykonaj kroki opisane w poniższej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administracja istrator dostępu użytkowników w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

2. Na liście nawigacji kliknij pozycję Microsoft Entra ID , a następnie kliknij pozycję Właściwości.

3. Ustaw przełącznik Zarządzanie dostępem dla zasobów platformy Azure z powrotem na Nie. Ponieważ jest to ustawienie dla poszczególnych użytkowników, musisz zalogować się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

   Jeśli spróbujesz usunąć przypisanie roli Administracja istrator dostępu użytkowników w okienku Kontrola dostępu (IAM), zostanie wyświetlony następujący komunikat. Aby usunąć przypisanie roli, należy ustawić przełącznik z powrotem na Wartość Nie lub użyć programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

   

4. Wyloguj się jako globalny Administracja istrator.

   Jeśli używasz usługi Privileged Identity Management, zdezaktywuj przypisanie roli Global Administracja istrator.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

Program PowerShell

Krok 1. Podnoszenie poziomu dostępu dla globalnego Administracja istratora

Użyj witryny Azure Portal lub interfejsu API REST, aby podwyższyć poziom dostępu dla Administracja istratora globalnego.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Gdy masz podwyższony poziom dostępu, aby wyświetlić listę przypisania roli Administracja istratora dla użytkownika w zakresie głównym (/), użyj polecenia Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administracja istrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub innego globalnego Administracja istratora z podwyższonym poziomem dostępu w zakresie głównym.

2. Użyj polecenia Remove-AzRoleAssignment, aby usunąć przypisanie roli Administracja istrator dostępu użytkowników.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Interfejs wiersza polecenia platformy Azure

Krok 1. Podnoszenie poziomu dostępu dla globalnego Administracja istratora

Wykonaj następujące podstawowe kroki, aby podnieść poziom dostępu dla globalnego Administracja istratora przy użyciu interfejsu wiersza polecenia platformy Azure.

1. Użyj polecenia az rest, aby wywołać punkt końcowy, który przyznaje użytkownikowi elevateAccess rolę Administracja istratora w zakresie głównym (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Gdy masz podwyższony poziom dostępu, aby wyświetlić listę przypisania roli Administracja istratora dla użytkownika w zakresie głównym (/), użyj polecenia az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administracja istrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub innego globalnego Administracja istratora z podwyższonym poziomem dostępu w zakresie głównym.

2. Użyj polecenia az role assignment delete, aby usunąć przypisanie roli Administracja istrator dostępu użytkowników.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

Interfejs API REST

Wymagania wstępne

Należy użyć następujących wersji:

• 2015-07-01 lub nowsze, aby wyświetlić listę i usunąć przypisania ról
• 2016-07-01 lub nowszy w celu podniesienia poziomu dostępu
• 2018-07-01-preview lub nowsze, aby wyświetlić listę przypisań odmowy

Aby uzyskać więcej informacji, zobacz Wersje interfejsów API rest kontroli dostępu opartej na rolach platformy Azure.

Krok 1. Podnoszenie poziomu dostępu dla globalnego Administracja istratora

Wykonaj następujące podstawowe kroki, aby podnieść poziom dostępu dla globalnego Administracja istratora przy użyciu interfejsu API REST.

1. Za pomocą interfejsu REST wywołaj metodę elevateAccess, która przyznaje użytkownikowi rolę Administracja istrator w zakresie głównym (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Wprowadź zmiany, które należy wprowadzić przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu API REST.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Po podwyższeniu poziomu dostępu można wyświetlić listę wszystkich przypisań ról dla użytkownika w zakresie głównym (/).

• Wywoływanie przypisań ról — lista dla zakresu , w którym {objectIdOfUser} znajduje się identyfikator obiektu użytkownika, którego przypisania ról chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Krok 3. Wyświetlanie listy przypisań odmowy w zakresie głównym (/)

Po podwyższeniu poziomu dostępu można wyświetlić listę wszystkich przypisań odmowy dla użytkownika w zakresie głównym (/).

• Wywołaj przypisania odmowy — lista dla zakresu , w którym {objectIdOfUser} jest identyfikator obiektu użytkownika, którego przypisania odmowy chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Krok 4. Usuwanie podwyższonego poziomu dostępu

Po wywołaniu elevateAccessmetody należy utworzyć przypisanie roli dla siebie, aby odwołać te uprawnienia, musisz usunąć przypisanie roli Administracja istrator dostępu użytkowników dla siebie w zakresie głównym (/).

1. Wywoływanie definicji ról — umożliwia określenie, gdzie roleName równa się Administracja istratorowi dostępu użytkowników, aby określić identyfikator nazwy roli Administracja istratora dostępu użytkowników.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Zapisz identyfikator z parametru name , w tym przypadku 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Należy również wyświetlić listę przypisań ról dla administratora katalogu w zakresie katalogu. Wyświetl listę wszystkich przypisań w zakresie katalogu dla principalId administratora katalogu, który wykonał wywołanie podwyższonego poziomu dostępu. Spowoduje to wyświetlenie listy wszystkich przypisań w katalogu dla identyfikatora objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Uwaga

   Administrator katalogu nie powinien mieć wielu przypisań, jeśli poprzednie zapytanie zwraca zbyt wiele przypisań, możesz również wykonać zapytanie dotyczące wszystkich przypisań tylko na poziomie zakresu katalogu, a następnie odfiltrować wyniki: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Poprzednie wywołania zwracają listę przypisań ról. Znajdź przypisanie roli, w którym znajduje "/" się zakres, a roleDefinitionId kończy się identyfikatorem nazwy roli znalezionym w kroku 1 i principalId pasuje do identyfikatora objectId administratora katalogu.

   Przykładowe przypisanie roli:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Ponownie zapisz identyfikator z parametru name , w tym przypadku 111111111-1111-1111-1111-1111111111111111111.

4. Na koniec użyj identyfikatora przypisania roli, aby usunąć przypisanie dodane przez elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Wyświetlanie wpisów dziennika z podwyższonym poziomem dostępu w dziennikach aktywności katalogu

Po podwyższeniu poziomu uprawnień do dzienników zostanie dodany wpis. Jako globalny Administracja istrator w usłudze Microsoft Entra ID możesz sprawdzić, kiedy dostęp został podwyższony i kto to zrobił. Podniesienie poziomu wpisów dziennika dostępu nie jest wyświetlane w standardowych dziennikach aktywności, ale zamiast tego są wyświetlane w dziennikach aktywności katalogu. W tej sekcji opisano różne sposoby wyświetlania wpisów dziennika podwyższonego poziomu dostępu.

Wyświetlanie wpisów dziennika z podwyższonym poziomem dostępu przy użyciu witryny Azure Portal

1. Zaloguj się w witrynie Azure Portal jako administrator globalny Administracja istrator.

2. Otwórz dziennik aktywności monitora>.

3. Zmień listę Działania na Działanie katalogu.

4. Wyszukaj następującą operację, która oznacza akcję podniesienia poziomu dostępu.

   Assigns the caller to User Access Administrator role

   

Wyświetlanie wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

1. Użyj polecenia az login, aby zalogować się jako globalny Administracja istrator.

2. Użyj polecenia az rest, aby wykonać następujące wywołanie, w którym trzeba będzie filtrować według daty, jak pokazano na przykładowym znaczniku czasu i określić nazwę pliku, w którym mają być przechowywane dzienniki.

   Wywołanie url interfejsu API w celu pobrania dzienników w witrynie Microsoft.Szczegółowe informacje. Dane wyjściowe zostaną zapisane w pliku.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. W pliku wyjściowym wyszukaj ciąg elevateAccess.

   Dziennik będzie podobny do poniższego, w którym można zobaczyć znacznik czasu wystąpienia akcji i osoby, która ją nazwała.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegowanie dostępu do grupy w celu wyświetlenia wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

Jeśli chcesz mieć możliwość okresowego pobierania wpisów dziennika z podwyższonym poziomem dostępu, możesz delegować dostęp do grupy, a następnie użyć interfejsu wiersza polecenia platformy Azure.

1. Otwórz grupy identyfikatorów> entra firmy Microsoft.

2. Utwórz nową grupę zabezpieczeń i zanotuj identyfikator obiektu grupy.

3. Użyj polecenia az login, aby zalogować się jako globalny Administracja istrator.

4. Użyj polecenia az role assignment create, aby przypisać rolę Czytelnik do grupy, która może tylko odczytywać dzienniki na poziomie katalogu, które znajdują się na Microsoft/Insightspoziomie .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Dodaj użytkownika, który odczytuje dzienniki do wcześniej utworzonej grupy.

Użytkownik w grupie może teraz okresowo uruchamiać polecenie az rest , aby wyświetlić wpisy dziennika z podwyższonym poziomem dostępu.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu interfejs API Rest