在 Privileged Identity Management 中檢視 Azure 資源角色的活動和稽核歷程記錄

透過 Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 中的 Privileged Identity Management (PIM),您可以檢視組織內 Azure 資源角色的活動、啟用及稽核歷程記錄。 適用範圍包括訂用帳戶、資源群組甚至是虛擬機器。 所有在 Azure 入口網站內利用 Azure 角色型存取控制功能的資源,都可以運用 Privileged Identity Management 中的安全性和生命週期管理功能。 若您想保留稽核資料的時間長於預設保留期間,可以使用 Azure 監視器將其路由到 Azure 儲存體帳戶。 如需詳細資訊,請參閱將 Azure AD 記錄封存到 Azure 儲存體帳戶

注意

如果您的組織已將管理功能外包給使用 Azure Lighthouse 的服務提供者,則此處不會顯示由該服務提供者授權的角色指派。

檢視活動和啟用

若要查看各種資源中特定使用者採取了哪些動作,您可以檢視與指定之啟用期間相關聯的 Azure 資源活動。

  1. 開啟 [Azure AD Privileged Identity Management]。

  2. 選取 [Azure 資源]。

  3. 選取您想要檢視其活動及啟用的資源。

  4. 選取 [角色] 或 [成員]。

  5. 選取使用者。

    您會依日期看到使用者在 Azure 資源中所採取動作的摘要。 它也會顯示同一段時間週期內最新的角色啟用。

    使用者詳細資料和資源活動摘要與角色啟用

  6. 選取特定的角色啟用可查看詳細資料,以及該使用者作用中時所發生的對應 Azure 資源活動。

    已選取角色啟用和活動詳細資料

匯出具有子系的角色指派

您的合規性需求可能會要求您必須提供完整的角色指派清單給稽核員。 Privileged Identity Management 可讓您查詢特定資源的角色指派,其中包含所有子資源的角色指派。 之前系統管理員很難取得訂用帳戶的角色指派完整清單,而且他們必須針對每個特定資源匯出角色指派。 您可以使用 Privileged Identity Management 查詢訂用帳戶中所有作用中和合格的角色指派,包括所有的資源群組和資源的角色指派。

  1. 開啟 [Azure AD Privileged Identity Management]。

  2. 選取 [Azure 資源]。

  3. 選取您想要匯出其角色指派的資源,例如訂用帳戶。

  4. 選取 [指派] 。

  5. 選取 [匯出] 來開啟 [匯出成員資格] 窗格。

    匯出成員資格窗格以匯出所有成員

  6. 選取 [匯出所有成員],匯出 CSV 檔案中的所有角色指派。

    CSV 檔案中的已匯出角色指派,如 Excel 所示

檢視資源稽核記錄

資源稽核可讓您檢視資源的所有角色活動。

  1. 開啟 [Azure AD Privileged Identity Management]。

  2. 選取 [Azure 資源]。

  3. 選取您想檢視稽核歷程記錄的資源。

  4. 選取 [資源稽核]。

  5. 使用預先定義的日期或自訂範圍篩選記錄。

    使用篩選的資源稽核清單

  6. 在 [稽核類型] 中,選取 [啟動 (已指派 + 已啟動)]

    依 [啟用稽核類型] 篩選的資源稽核清單依[啟用稽核類型] 篩選的資源稽核清單

  7. 在 [動作] 底下,按一下使用者的 [(活動)] 以查看該使用者在 Azure 資源中的活動詳細資料。

    特定動作的使用者活動詳細資料

檢視我的稽核

我的稽核可讓您檢視您的個人角色活動。

  1. 開啟 [Azure AD Privileged Identity Management]。

  2. 選取 [Azure 資源]。

  3. 選取您想檢視稽核歷程記錄的資源。

  4. 選取 [我的稽核]。

  5. 使用預先定義的日期或自訂範圍篩選記錄。

    適用於目前使用者的稽核清單

注意

存取稽核歷程記錄需要全域管理員或特殊權限角色管理員角色。

取得核准事件的原因、核准者和票證號碼

  1. 使用特殊權限角色管理員角色權限登入 Azure 入口網站,然後開啟 Azure AD。

  2. 選取 [稽核記錄]。

  3. 使用 [服務] 篩選條件僅顯示 Privileged Identity Management 服務的稽核事件。 在 [稽核記錄] 頁面上,您可以:

    • 在 [狀態原因] 資料行中查看稽核事件的原因。
    • 針對「將成員新增到已核准的角色要求」事件,查看 [發起者 (執行者)] 資料行中的核准者。

    篩選 PIM 服務的稽核記錄

  4. 選取稽核記錄事件以查看 [詳細資料] 窗格的 [活動] 索引標籤上的票證號碼。

    檢查稽核事件的票證號碼]

  5. 您可以在 [詳細資料] 窗格的 [目標] 索引標籤上檢視稽核事件的要求者 (啟動角色的人員)。 Azure 資源角色有三種目標型別:

    • 角色 (類型 = 角色)
    • 要求者 (類型 = 其他)
    • 核准者 (類型 = 使用者)

    檢查目標型別

一般來說,核准事件上方的記錄事件是「將成員新增到角色已完成」的事件,其中發起者 (執行者) 是要求者。 在大多數情況下,您不需要從稽核的角度在核准要求中找到要求者。

後續步驟