在 Privileged Identity Management 中檢視 Azure 資源角色的活動和稽核歷程記錄

  • 文章

Microsoft Entra ID 中的 Privileged Identity Management (PIM)可讓您檢視組織內 Azure 資源角色的活動、啟用和稽核歷程記錄。 這包括訂用帳戶、資源群組,甚至是虛擬機。 利用 Azure 角色型存取控制功能之 Microsoft Entra 系統管理中心內的任何資源,都可以利用 Privileged Identity Management 中的安全性和生命週期管理功能。 如果您想要保留稽核數據超過預設保留期限,您可以使用 Azure 監視器將它路由傳送至 Azure 記憶體帳戶。 如需詳細資訊,請參閱 將 Microsoft Entra 記錄封存至 Azure 記憶體帳戶

注意

如果您的組織已將管理功能外包給使用 Azure Lighthouse 的服務提供者,則此處不會顯示該服務提供者授權的角色指派。

檢視活動和啟用

若要查看特定使用者在各種資源中採取的動作,您可以檢視與特定啟用期間相關聯的 Azure 資源活動。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>Privileged Identity Management>Azure 資源]。

  3. 選取您想要檢視活動與啟用的資源。

  4. 選取 [角色][成員]

  5. 選取使用者。

    您會看到依日期在 Azure 資源中使用者動作的摘要。 它也會顯示同一時間週期內最近的角色啟用情況。

    使用者詳細數據與資源活動摘要和角色啟用的螢幕快照。

  6. 選取特定角色啟用以查看在使用者作用時所發生的詳細資料和相對應的 Azure 資源活動。

    選取的角色啟用和活動詳細數據的螢幕快照。

導出具有子系的角色指派

您可能有合規性需求,您必須提供完整的角色指派清單給稽核員。 Privileged Identity Management 可讓您在特定資源查詢角色指派,其中包括所有子資源的角色指派。 先前,系統管理員很難取得訂用帳戶角色指派的完整清單,而且他們必須匯出每個特定資源的角色指派。 使用 Privileged Identity Management,您可以查詢訂用帳戶中的所有作用中和合格角色指派,包括所有資源群組和資源的角色指派。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>Privileged Identity Management>Azure 資源]。

  3. 選取您想要匯出角色指派的資源,例如訂閱。

  4. 選取 [指派]

  5. 選取 [匯出 ] 以開啟 [導出成員資格] 窗格。

    顯示匯出成員資格窗格以匯出所有成員的螢幕快照。

  6. 選取 [匯出所有會員] 以在 CSV 檔案中匯出所有角色指派。

    此螢幕快照顯示 CSV 檔案中導出的角色指派,如 Excel 所示。

檢視資源稽核歷程記錄

資源稽核提供您一個資源的所有角色活動檢視表。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>Privileged Identity Management>Azure 資源]。

  3. 選取您想要檢視稽核記錄的資源。

  4. 選取 資源稽核

  5. 使用預先定義的日期或自訂範圍來篩選歷程記錄。

    顯示具有篩選條件之資源稽核清單的螢幕快照。

  6. 針對 [稽核類型],選取 [啟用] [已指派 + 已啟用]。

    此螢幕快照顯示依 [啟用稽核類型] 篩選的資源稽核清單。

  7. [動作] 底下,選取使用者的 (活動) 以在 Azure 中查看使用者的活動詳細資料。

    顯示特定動作之用戶活動詳細數據的螢幕快照。

檢視我的稽核

我的稽核可讓您檢視您的個人角色活動。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>Privileged Identity Management>Azure 資源]。

  3. 選取您想要檢視稽核記錄的資源。

  4. 選取 [我的稽核]。

  5. 使用預先定義的日期或自訂範圍來篩選歷程記錄。

    顯示目前使用者的稽核清單螢幕快照。

注意

存取稽核記錄需要全域 管理員 istrator 或 Privileged Role 管理員 istrator 角色。

取得核准事件的原因、核准者和票證號碼

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別>監視與健康情況>稽核記錄]。

  3. 使用服務篩選器,只顯示 Privileged Identity Management 服務的稽核事件。 在 [ 稽核記錄] 頁面上,您可以:

    • 請參閱 [狀態原因] 數據行中的 稽核事件原因
    • 如需「將成員新增至角色要求已核准」事件,請參閱 [起始者] 數據行中的核准者。

    顯示篩選 PIM 服務的稽核記錄的螢幕快照。

  4. 選取稽核記錄事件,以查看 [詳細數據] 窗格的 [活動] 索引標籤上的票證號碼。

    顯示稽核事件的票證號碼螢幕快照。

  5. 您可以在稽核事件的 [詳細數據] 窗格的 [目標] 索引卷標上檢視要求者(啟用角色的人員)。 Azure 資源角色有三種目標類型:

    • 角色 (類型 = 角色)
    • 要求者 (類型 = 其他)
    • 核准者 (類型 = 使用者)

    顯示如何檢查目標類型的螢幕快照。

一般而言,核准事件正上方的記錄事件是「將成員新增至角色已完成」的事件,其中 [動作專案] 是要求者。 在大部分情況下,您不需要從稽核觀點在核准要求中找到要求者。

下一步