你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Privileged Identity Management 中查看 Azure 资源角色的活动和审核历史记录

使用属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 中的 Privileged Identity Management (PIM),可以查看组织中的 Azure 资源角色的活动、激活和审核历史记录。 这些资源包括订阅、资源组甚至虚拟机。 如果 Azure 门户中的任何资源利用了 Azure 的基于角色的访问控制 (RBAC) 功能,则可以利用 Privileged Identity Management 中的安全和生命周期管理功能。 如果审核数据的保留时间需要长于默认保留期,可以使用 Azure Monitor 将其路由到 Azure 存储帐户。 有关详细信息,请参阅将 Azure AD 日志存档到 Azure 存储帐户

注意

如果你的组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。

查看活动和激活

若要查看特定用户在各种资源中执行的操作,可以查看与给定激活时段关联的 Azure 资源活动。

  1. 打开“Azure AD Privileged Identity Management”。

  2. 选择“Azure 资源” 。

  3. 选择要查看其活动和激活情况的资源。

  4. 选择“角色”或“成员”

  5. 选择用户。

    你将在 Azure 资源中按日期查看用户操作的摘要。 其中还显示了同一时间段内的最近角色激活。

    包含资源活动摘要和角色激活的用户详细信息

  6. 单击某个特定的角色激活可查看详细信息,以及在该用户处于活动状态期间发生的相应 Azure 资源活动。

    所选角色激活和活动详细信息

导出具有子级的角色分配

你可能具有合规性要求,必须向审核者提供角色分配的完整列表。 可以使用 Privileged Identity Management 查询特定资源上的角色分配,这包括针对所有子资源的角色分配。 以前,管理员很难获取某个订阅的角色分配完整列表,他们必须导出每个特定资源的角色分配。 使用 Privileged Identity Management,可以查询某个订阅中所有处于活动状态和符合条件的角色分配,包括针对所有资源组和资源的角色分配。

  1. 打开“Azure AD Privileged Identity Management”。

  2. 选择“Azure 资源” 。

  3. 单击要为其导出角色分配情况的资源,例如订阅。

  4. 选择“分配” 。

  5. 单击“导出”以打开“导出成员身份”窗格。

    用于导出所有成员的“导出成员身份”窗格

  6. 单击“导出所有成员”以在 CSV 文件中导出所有角色分配。

    CSV 文件中导出的角色分配在 Excel 中显示

查看资源审核历史记录

资源审核提供资源的所有角色活动的视图。

  1. 打开“Azure AD Privileged Identity Management”。

  2. 选择“Azure 资源” 。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“资源审核” 。

  5. 可以使用预定义的日期或自定义范围筛选历史记录。

    带筛选器的资源审核列表

  6. 对于“审核类型”,选择“激活(已分配 + 已激活)”

    按“激活”审核类型筛选的资源审核列表按“激活”审核类型筛选的资源审核列表

  7. 在“操作”下,单击某个用户的(活动)可查看该用户在 Azure 资源中的活动详细信息。

    特定操作的用户活动详细信息

查看我的审核

使用“我的审核”,可以查看你的个人角色活动。

  1. 打开“Azure AD Privileged Identity Management”。

  2. 选择“Azure 资源” 。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“我的审核” 。

  5. 可以使用预定义的日期或自定义范围筛选历史记录。

    当前用户的审核列表

注意

访问审核历史记录需要“全局管理员”或“特权角色管理员”角色。

获取审批事件的原因、审批者和票证编号

  1. 使用特权角色管理员角色权限登录到 Azure 门户并打开 Azure AD。

  2. 选择“审核日志” 。

  3. 使用“服务” 筛选器以仅显示特权身份管理服务的审核事件。 在“审核日志” 页上,你可以:

    • 请在“状态原因” 列中查看审核事件的原因。
    • 在“将成员添加到角色请求已批准”事件的“发起人(参与者)” 列中查看审批者。

    筛选 PIM 服务的审核日志

  4. 选择一个审核日志事件,以在“详细信息”窗格的“活动”选项卡上查看票证编号。

    检查审核事件的票证编号]

  5. 可以在审核事件的“详细信息”窗格的“目标”选项卡上查看请求者(激活角色的人员)。 Azure 资源角色有三种目标类型:

    • 角色( 类型 = 角色)
    • 请求者 (Type = Other)
    • 审批者 (Type = User)

    检查目标类型

通常,审批事件正上方的日志事件是“将成员添加到角色已完成”事件,其中,“发起人(参与者)”是请求者。 大多数情况下,你无需从审核角度查找审批请求中的请求者。

后续步骤