Поделиться через


Просмотр активности и журнала аудита для ролей ресурсов Azure в PIM

управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, позволяет просматривать действия, активации и журнал аудита для ролей ресурсов Azure в организации. Включая подписки, группы ресурсов и даже виртуальные машины. Любой ресурс в Центре администрирования Microsoft Entra, использующее функции управления доступом на основе ролей Azure, может воспользоваться возможностями управления безопасностью и жизненным циклом в управление привилегированными пользователями. Если необходимо хранить данные аудита дольше стандартного срока хранения, можно использовать Azure Monitor, чтобы направить его в учетную запись хранения Azure. Дополнительные сведения см. в статье "Архив журналов Microsoft Entra" в учетную запись хранения Azure.

Примечание.

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут.

Просмотр действий и активаций

Чтобы узнать, какие действия определенный пользователь выполнял в различных ресурсах, можно просмотреть сведения об активности для ресурсов Azure за конкретный период активации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

  3. Выберите ресурс, для которого нужно просмотреть сведения о действиях и активациях.

  4. Выберите Роли или Участники.

  5. Выберите пользователя.

    Отображается сводка действий пользователя в ресурсах Azure по датам. Здесь же будет показана информация о последних активациях роли за тот же период времени.

    Снимок экрана: сведения о пользователе с сводкой действий ресурсов и активацией ролей.

  6. Выберите конкретную активацию роли, чтобы просмотреть подробные сведения и соответствующие действия с ресурсами Azure, которые произошли за время активности этого пользователя.

    Снимок экрана: выбранная активация ролей и сведения о действиях.

Экспорт назначений ролей с дочерними элементами

Для соответствия требованиям вам может потребоваться указать полный список назначений ролей для аудиторов. PIM позволяет запрашивать назначения ролей конкретного ресурса, в том числе всех его дочерних ресурсов. Ранее у администраторов возникали трудности при получении полного списка назначений ролей для подписки, и им нужно было экспортировать назначения ролей для каждого конкретного ресурса. С помощью PIM можно запрашивать все активные и допустимые назначения ролей в подписке, включая назначения ролей для всех ресурсов и групп ресурсов.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

  3. Выберите ресурс, для которого нужно экспортировать назначения ролей, например подписку.

  4. Выберите назначения.

  5. Выберите Экспорт, чтобы открыть панель "Экспорт членства".

    Снимок экрана: область экспорта членства для экспорта всех участников.

  6. Выберите Экспортировать всех участников, чтобы экспортировать все назначения ролей в файл CSV.

    Снимок экрана: экспортированные назначения ролей в CSV-файле, как показано в Excel.

Просмотр журнала аудита ресурсов

Аудит ресурсов позволяет просмотреть все действия ролей для какого-либо ресурса.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

  3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

  4. Выберите Аудит ресурсов.

  5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

    Снимок экрана: список аудита ресурсов с фильтрами.

  6. В раскрывающемся списке Тип аудита выберите Activate (Assigned + Activated) (Активировать (назначено + активировано)).

    Снимок экрана: список аудита ресурсов, отфильтрованный по типу аудита

  7. В столбце Действие выберите (активность) для нужного пользователя, чтобы просмотреть сведения о его активности в ресурсах Azure.

    Снимок экрана: сведения о действиях пользователя для определенного действия.

Просмотр раздела "Мой аудит"

В разделе "Мой аудит" можно просматривать действия, выполняемые в личной роли.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

  3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

  4. Выберите Мой аудит.

  5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

    Снимок экрана: список аудита для текущего пользователя.

Примечание.

Для доступа к журналу аудита требуется по крайней мере роль привилегированной роли Администратор istrator.

Получите причину, утверждающего и номер билета для событий утверждения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>.

  3. Используйте фильтр Службы, чтобы отображать только события аудита для службы управления привилегированными пользователями. На странице Журналов аудита вы можете:

    • Посмотреть причину события аудита в столбце Причина состояния.
    • См. Утверждающего в столбце Инициировано (действующим лицом) для события "добавить участника к утвержденному запросу роли".

    Снимок экрана: фильтрация журнала аудита для службы PIM.

  4. Выберите событие журнала аудита, чтобы посмотреть номер заявки на вкладке Действие панели Сведения.

    Снимок экрана: номер билета для события аудита.

  5. Вы можете просмотреть инициатора запроса (лицо, активирующее роль) на вкладке Цели панели Подробности для события аудита. Существует три типа целевых объектов для ролей ресурсов Azure:

    • Роль (Тип = Роль)
    • Инициатор запроса (Тип = Другой)
    • Утверждающий (Тип = Пользователь)

    Снимок экрана: проверка целевого типа.

Как правило, событие журнала аудита, отображаемое непосредственно над событием утверждения, является событием "Добавление члена роли завершено", для которого в поле Кем инициировано (субъект) указывается инициатор запроса. В большинстве случаев вам не нужно искать инициатора запроса в запросе на утверждение с точки зрения аудита.

Следующие шаги