Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme

Microsoft Entra ID'de (Azure AD) Genel Yönetici olarak dizininizdeki aboneliklerin ve yönetim gruplarının tümüne erişiminiz olmayabilir. Bu makalede, erişiminizi tüm aboneliklere ve yönetim gruplarına yükseltmenin yolları açıklanmaktadır.

Not

Kişisel verileri görüntüleme veya silme hakkında bilgi için bkz. GDPR için Azure Veri Nesnesi İstekleri. GDPR hakkında daha fazla bilgi için Microsoft Güven Merkezi'nin GDPR bölümüne ve Hizmet Güveni portalının GDPR bölümüne bakın.

Erişiminizi neden yükseltmeniz gerekir?

Global Yönetici istrator iseniz, bazı durumlarda aşağıdaki eylemleri yapmak isteyebilirsiniz:

• Kullanıcı erişimi kaybettiğinde Azure aboneliğine veya yönetim grubuna yeniden erişim kazanma
• Başka bir kullanıcıya veya kendisine Azure aboneliği veya yönetim grubu üzerinde erişim verme
• Bir kuruluştaki tüm Azure aboneliklerini veya yönetim gruplarını görme
• Otomasyon uygulamasının (faturalama veya denetim uygulaması gibi) tüm Azure aboneliklerine veya yönetim gruplarına erişmesine izin verme

Yükseltilmiş erişim nasıl çalışır?

Microsoft Entra ID ile Azure kaynaklarının güvenliği birbirinden bağımsız olarak sağlanır. Diğer bir deyişle Microsoft Entra rol atamaları Azure kaynaklarına erişim vermez ve Azure rol atamaları da Microsoft Entra ID'ye erişim vermez. Bununla birlikte, Microsoft Entra ID'de Genel Yöneticiyseniz, kendinize dizininizdeki tüm Azure abonelikleri ve yönetim gruplarına erişim atayabilirsiniz. Sanal makineler veya depolama hesapları gibi Azure abonelik kaynaklarına erişiminiz yoksa ve söz konusu kaynaklara erişim kazanmak için Genel Yönetici ayrıcalığınızı kullanmak istiyorsanız bu özelliği kullanın.

Erişiminizi yükselttiğinizde Azure'da kök kapsamda (/) Kullanıcı Erişimi Yönetici istrator rolü atanır. Bu sayede tüm kaynakları görüntüleyebilir ve dizindeki tüm aboneliklere veya yönetim gruplarına erişim atayabilirsiniz. Kullanıcı Erişimi Yöneticisi rol atamaları Azure PowerShell, Azure CLI veya REST API kullanarak kaldırılabilir.

Kök kapsamda yapmanız gereken değişiklikleri yaptıktan sonra bu yükseltilmiş erişim kaldırılmalıdır.

Kök kapsamda adımları gerçekleştirme

Azure portalı

1. Adım: Genel Yönetici istrator için erişimi yükseltme

Azure portalını kullanarak Genel Yönetici istrator'a erişimi yükseltmek için bu adımları izleyin.

1. Azure portalında Genel Yönetici istrator olarak oturum açın.

   Microsoft Entra Privileged Identity Management kullanıyorsanız Genel Yönetici istrator rol atamanızı etkinleştirin.

2. Microsoft Entra ID'yi açın.

3. Yönet'in altında Özellikler'i seçin.

   

4. Azure kaynakları için erişim yönetimi'nin altında iki durumlu düğmeyi Evet olarak ayarlayın.

   

   İki durumlu düğmeyi Evet olarak ayarladığınızda, Azure RBAC'de kök kapsamda (/) Kullanıcı Erişimi Yönetici istrator rolü atanır. Bu, size bu Microsoft Entra diziniyle ilişkili tüm Azure aboneliklerinde ve yönetim gruplarında rol atama izni verir. Bu geçiş yalnızca Microsoft Entra Kimliği'nde Genel Yönetici istrator rolü atanmış kullanıcılar tarafından kullanılabilir.

   İki durumlu düğmeyi Hayır olarak ayarladığınızda, Azure RBAC'deki Kullanıcı Erişimi Yönetici istrator rolü kullanıcı hesabınızdan kaldırılır. Artık bu Microsoft Entra diziniyle ilişkili tüm Azure aboneliklerinde ve yönetim gruplarında rol atayasınız. Yalnızca size erişim verilen Azure aboneliklerini ve yönetim gruplarını görüntüleyebilir ve yönetebilirsiniz.

   Not

   Privileged Identity Management kullanıyorsanız rol atamanızı devre dışı bırakmak, Azure kaynakları için Erişim yönetimi düğmesini Hayır olarak değiştirmez. En az ayrıcalıklı erişimi korumak için rol atamanızı devre dışı bırakmadan önce bu iki durumlu düğmeyi Hayır olarak ayarlamanızı öneririz.

5. Ayarınızı kaydetmek için Kaydet'e tıklayın.

   Bu ayar genel bir özellik değildir ve yalnızca şu anda oturum açmış olan kullanıcı için geçerlidir. Genel Yönetici istrator rolünün tüm üyeleri için erişimi yükseltemezsiniz.

6. Erişiminizi yenilemek için oturumu kapatın ve yeniden oturum açın.

   Artık dizininizdeki tüm aboneliklere ve yönetim gruplarına erişiminiz olmalıdır. Erişim denetimi (IAM) bölmesini görüntülediğinizde, kök kapsamda Size Kullanıcı Erişimi Yönetici istrator rolü atandığını fark edersiniz.

   

7. Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

   Rol atama hakkında bilgi için bkz . Azure portalını kullanarak Azure rolleri atama. Privileged Identity Management kullanıyorsanız bkz . Yönetmek için Azure kaynaklarını bulma veya Azure kaynak rollerini atama.

8. Yükseltilmiş erişiminizi kaldırmak için aşağıdaki bölümdeki adımları gerçekleştirin.

2. Adım: Yükseltilmiş erişimi kaldırma

Kök kapsamda/ ( ) Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmak için aşağıdaki adımları izleyin.

1. Erişimi yükseltmek için kullanılan kullanıcıyla oturum açın.

2. Gezinti listesinde Microsoft Entra Id'ye ve ardından Özellikler'e tıklayın.

3. Azure kaynakları için Erişim yönetimi geçişini yeniden Hayır olarak ayarlayın. Bu kullanıcı başına bir ayar olduğundan, erişimi yükseltmek için kullanılan kullanıcıyla aynı kullanıcıyla oturum açmanız gerekir.

   Erişim denetimi (IAM) bölmesinde Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmaya çalışırsanız aşağıdaki iletiyi görürsünüz. Rol atamasını kaldırmak için iki durumlu düğmeyi Hayır olarak ayarlamanız veya Azure PowerShell, Azure CLI veya REST API'yi kullanmanız gerekir.

   

4. Genel Yönetici istrator olarak oturumu kapatın.

   Privileged Identity Management kullanıyorsanız Genel Yönetici istrator rol atamanızı devre dışı bırakın.

   Not

   Privileged Identity Management kullanıyorsanız rol atamanızı devre dışı bırakmak, Azure kaynakları için Erişim yönetimi düğmesini Hayır olarak değiştirmez. En az ayrıcalıklı erişimi korumak için rol atamanızı devre dışı bırakmadan önce bu iki durumlu düğmeyi Hayır olarak ayarlamanızı öneririz.

PowerShell

1. Adım: Genel Yönetici istrator için erişimi yükseltme

Genel Yönetici istrator'a erişimi yükseltmek için Azure portalını veya REST API'sini kullanın.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, kök kapsamdaki/ ( ) bir kullanıcının Kullanıcı Erişimi Yönetici istrator rol atamasını listelemek için Get-AzRoleAssignment komutunu kullanın.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3. Adım: Yükseltilmiş erişimi kaldırma

Kök kapsamda (/ ) kendiniz veya başka bir kullanıcı için Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmak için aşağıdaki adımları izleyin.

1. Yükseltilmiş erişimi kaldırabilen bir kullanıcı olarak oturum açın. Bu, erişimi yükseltmek için kullanılan kullanıcı veya kök kapsamda yükseltilmiş erişime sahip başka bir Genel Yönetici istrator olabilir.

2. Remove-AzRoleAssignment komutunu kullanarak Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırın.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

1. Adım: Genel Yönetici istrator için erişimi yükseltme

Azure CLI kullanarak Genel Yönetici istrator'a erişimi yükseltmek için aşağıdaki temel adımları kullanın.

1. Kök kapsamda (/) Kullanıcı Erişimi Yönetici istrator rolü veren uç noktayı çağırmak elevateAccess için az rest komutunu kullanın.

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

   Rol atama hakkında bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.

3. Yükseltilmiş erişiminizi kaldırmak için sonraki bir bölümde yer alan adımları gerçekleştirin.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, kök kapsamda ()/ bir kullanıcının Kullanıcı Erişimi Yönetici istrator rol atamasını listelemek için az role assignment list komutunu kullanın.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3. Adım: Yükseltilmiş erişimi kaldırma

Kök kapsamda (/ ) kendiniz veya başka bir kullanıcı için Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmak için aşağıdaki adımları izleyin.

1. Yükseltilmiş erişimi kaldırabilen bir kullanıcı olarak oturum açın. Bu, erişimi yükseltmek için kullanılan kullanıcı veya kök kapsamda yükseltilmiş erişime sahip başka bir Genel Yönetici istrator olabilir.

2. Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmak için az role assignment delete komutunu kullanın.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Önkoşullar

Aşağıdaki sürümleri kullanmanız gerekir:

• 2015-07-01 veya daha sonra rol atamalarını listelemek ve kaldırmak için
• 2016-07-01 veya daha sonra erişimi yükseltmek için
• 2018-07-01-preview veya daha sonra reddetme atamalarını listelemek için

Daha fazla bilgi için bkz . Azure RBAC REST API'lerinin API sürümleri.

1. Adım: Genel Yönetici istrator için erişimi yükseltme

REST API kullanarak Genel Yönetici istrator erişimini yükseltmek için aşağıdaki temel adımları kullanın.

1. REST kullanarak, kök kapsamda (/) Kullanıcı Erişimi Yönetici istrator rolü veren öğesini çağırınelevateAccess.

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

   Rol atama hakkında bilgi için bkz . REST API kullanarak Azure rolleri atama.

3. Yükseltilmiş erişiminizi kaldırmak için sonraki bir bölümde yer alan adımları gerçekleştirin.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, bir kullanıcının tüm rol atamalarını kök kapsamda (/ ) listeleyebilirsiniz.

• Rol Atamalarını Çağırma - Rol atamalarını almak istediğiniz kullanıcının nesne kimliği olan {objectIdOfUser} Kapsam Listesi.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

3. Adım: Kök kapsamda reddetme atamalarını listeleme (/)

Yükseltilmiş erişime sahip olduktan sonra, bir kullanıcının tüm reddetme atamalarını kök kapsamda (/ ) listeleyebilirsiniz.

• Reddetme Atamalarını Çağır - Kapsam Listesi Burada {objectIdOfUser} reddetme atamalarını almak istediğiniz kullanıcının nesne kimliğidir.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

4. Adım: Yükseltilmiş erişimi kaldırma

çağırdığınızdaelevateAccess, kendiniz için bir rol ataması oluşturursunuz, bu nedenle bu ayrıcalıkları iptal etmek için kök kapsamda (/) kendiniz için Kullanıcı Erişimi Yönetici istrator rol atamasını kaldırmanız gerekir.

1. Rol Tanımlarını Çağır - Kullanıcı Erişimi Yönetici istrator rolünün ad kimliğini belirlemek için Kullanıcı Erişimi Yönetici istrator'a eşit olan yeri roleName alın.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Bu örnekte 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9parametresinden name kimliğini kaydedin.

2. Ayrıca dizin yöneticisi için rol atamasını dizin kapsamında listelemeniz gerekir. Yükseltme erişim çağrısını yapan dizin yöneticisinin principalId dizin kapsamındaki tüm atamaları listeleyin. Bu, objectid dizinindeki tüm atamaları listeler.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Not

   Dizin yöneticisinin çok fazla ataması olmamalıdır; önceki sorgu çok fazla atama döndürüyorsa, tüm atamaları yalnızca dizin kapsamı düzeyinde sorgulayabilir ve ardından sonuçları filtreleyebilirsiniz: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Önceki çağrılar rol atamalarının listesini döndürür. Kapsamın "/" bulunduğu rol atamasını ve roleDefinitionId 1. adımda bulduğunuz rol adı kimliğiyle uçlarını bulun ve principalId dizin yöneticisinin objectId değeriyle eşleşir.

   Örnek rol ataması:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Yine parametresinden name kimliği kaydedin, bu örnekte 11111111-1111-1111-1111-1111111111111111.

4. Son olarak, tarafından elevateAccesseklenen atamayı kaldırmak için rol ataması kimliğini kullanın:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Dizin Etkinliği günlüklerinde yükseltilmiş erişim günlüğü girdilerini görüntüleme

Erişim yükseltildiğinde, günlüklere bir giriş eklenir. Microsoft Entra Id'de Genel Yönetici istrator olarak, erişimin ne zaman yükseltildiğini ve kimin yaptığını denetlemek isteyebilirsiniz. Erişim günlüğü girdilerini yükselt standart etkinlik günlüklerinde görünmez, bunun yerine Dizin Etkinliği günlüklerinde görünür. Bu bölümde, erişim günlüğü girişlerini yükseltmeyi görüntülemenin farklı yolları açıklanmaktadır.

Azure portalını kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

1. Azure portalında Genel Yönetici istrator olarak oturum açın.

2. İzleyici>Etkinlik günlüğünü açın.

3. Etkinlik listesini Dizin Etkinliği olarak değiştirin.

4. Erişim yükseltme eylemini gösteren aşağıdaki işlemi arayın.

   Assigns the caller to User Access Administrator role

   

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

1. Genel Yönetici istrator olarak oturum açmak için az login komutunu kullanın.

2. Örnek zaman damgasında gösterildiği gibi bir tarihe göre filtrelemeniz ve günlüklerin depolanmasını istediğiniz dosya adını belirtmeniz gereken aşağıdaki çağrıyı yapmak için az rest komutunu kullanın.

   , url Microsoft.Analizler'daki günlükleri almak için bir API çağırır. Çıkış dosyanıza kaydedilir.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Çıkış dosyasında öğesini arayın elevateAccess.

   Günlük, eylemin ne zaman gerçekleştiğini ve kimin çağırdığı zaman damgasını görebileceğiniz aşağıdakine benzer.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmek için gruba erişim yetkisi verme

Erişim günlüğü girişlerini düzenli aralıklarla alabilmek istiyorsanız, bir gruba erişim yetkisi verebilir ve ardından Azure CLI'yı kullanabilirsiniz.

1. Microsoft Entra Id>Groups'u açın.

2. Yeni bir güvenlik grubu oluşturun ve grup nesnesi kimliğini not edin.

3. Genel Yönetici istrator olarak oturum açmak için az login komutunu kullanın.

4. Az role assignment create komutunu kullanarak Okuyucu rolünü yalnızca dizininde bulunan Microsoft/Insightsdizin düzeyindeki günlükleri okuyabilen gruba atayın.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Daha önce oluşturulan gruba günlükleri okuyacak bir kullanıcı ekleyin.

Gruptaki bir kullanıcı artık erişim günlüğü girdilerini yükseltmek için az rest komutunu düzenli aralıklarla çalıştırabilir.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Sonraki adımlar

• Farklı rolleri anlama
• REST API kullanarak Azure rolleri atama