Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu

Jako globální správce v Microsoft Entra ID možná nemáte přístup ke všem předplatným a skupinám pro správu ve vašem tenantovi. Tento článek popisuje způsoby, jak zvýšit úroveň přístupu ke všem předplatným a skupinám pro správu.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v tématu Obecné žádosti subjektů údajů o GDPR, žádosti subjektů údajů Azure o GDPR nebo žádosti subjektů údajů o gdpr ve Windows v závislosti na vaší konkrétní oblasti a potřebách. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Proč byste měli potřebovat zvýšit úroveň svého přístupu?

Pokud jste globální správce, může docházet k následujícím akcím:

• Opětovné získání přístupu k předplatnému Nebo skupině pro správu Azure, když uživatel ztratil přístup
• udělit sobě nebo jinému uživateli přístup k předplatnému Azure nebo skupině pro správu,
• Zobrazení všech předplatných Nebo skupin pro správu Azure v organizaci
• Povolení přístupu ke všem předplatným Nebo skupinám pro správu Azure (například aplikace pro fakturaci nebo auditování)

Jak funguje přístup se zvýšenými oprávněními?

Prostředky Microsoft Entra ID a Azure jsou zabezpečené nezávisle na sobě. To znamená, že přiřazené role Microsoft Entra ještě neudělují přístup k prostředkům Azure a přiřazené role Azure neudělují přístup k Microsoft Entra ID. Pokud jste ale globálním správcem v Microsoft Entra ID, můžete sami přiřadit přístup ke všem předplatným Azure a skupinám pro správu ve vašem tenantovi. Tuto možnost použijte, pokud nemáte přístup k prostředkům předplatného Azure, jako jsou virtuální počítače nebo účty úložiště a chcete k získání přístupu k těmto prostředkům použít oprávnění globálního správce.

Když zvýšíte úroveň přístupu, přiřadíte v Azure roli Správce uživatelských přístupů v kořenovém oboru (/). To vám umožní zobrazit všechny prostředky a přiřadit přístup v libovolném předplatném nebo skupině pro správu v tenantovi. K odebrání přiřazené role správce uživatelských přístupů můžete použít Azure PowerShell, Azure CLI nebo REST API.

Jakmile provedete potřebné změny na úrovni kořenového adresáře, měli byste zvýšená přístupová oprávnění odebrat.

Provedení kroků v kořenovém oboru

Azure Portal

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pokud chcete zvýšit úroveň přístupu globálního správce pomocí webu Azure Portal, postupujte takto.

1. Přihlaste se k webu Azure Portal jako globální správce.

   Pokud používáte Microsoft Entra Privileged Identity Management, aktivujte přiřazení role globálního správce.

2. Přejděte na spravovat>vlastnosti Microsoft Entra ID.>

   

3. V části Správa přístupu pro prostředky Azure nastavte přepínač na Ano.

   

   Když nastavíte přepínač na Ano, přiřadíte roli Správce uživatelských přístupů v Azure RBAC v kořenovém oboru (/). To vám udělí oprávnění k přiřazování rolí ve všech předplatných Azure a skupinách pro správu přidružených k tomuto tenantovi Microsoft Entra. Tento přepínač je k dispozici pouze uživatelům, kteří mají přiřazenou roli globálního správce v MICROSOFT Entra ID.

   Když nastavíte přepínač na Ne, role Správce uživatelských přístupů v Azure RBAC se odebere z vašeho uživatelského účtu. Už nemůžete přiřazovat role ve všech předplatných Azure a skupinách pro správu přidružených k tomuto tenantovi Microsoft Entra. Můžete zobrazit a spravovat jenom předplatná Azure a skupiny pro správu, ke kterým máte udělený přístup.

   Poznámka:

   Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepnutí správy přístupu pro prostředky Azure na Ne. Pokud chcete zachovat nejméně privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

4. Zvolte Uložit a uložte nastavení.

   Toto nastavení není globální vlastností a vztahuje se pouze na aktuálně přihlášeného uživatele. Přístup nelze zvýšit pro všechny členy role globálního správce.

5. Odhlaste se a znovu se přihlaste, abyste aktualizovali přístup.

   Teď byste měli mít přístup ke všem předplatným a skupinám pro správu ve vašem tenantovi. Při zobrazení stránky Řízení přístupu (IAM) si všimnete, že máte přiřazenou roli Správce uživatelských přístupů v kořenovém oboru.

   

6. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal. Pokud používáte Privileged Identity Management, přečtěte si téma Zjišťování prostředků Azure pro správu nebo přiřazení rolí prostředků Azure.

7. Provedením kroků v následující části odeberte přístup se zvýšenými oprávněními.

Krok 2: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako stejný uživatel, který byl použit ke zvýšení úrovně přístupu.

2. Přejděte na spravovat>vlastnosti Microsoft Entra ID.>

3. Nastavte správu přístupu pro prostředky Azure zpět na Ne. Vzhledem k tomu, že se jedná o nastavení pro jednotlivé uživatele, musíte být přihlášeni jako stejný uživatel, jako byl použit ke zvýšení úrovně přístupu.

   Pokud se pokusíte odebrat přiřazení role Správce uživatelských přístupů na stránce Řízení přístupu (IAM), zobrazí se následující zpráva. Pokud chcete přiřazení role odebrat, musíte přepínač nastavit zpět na Ne nebo použít Azure PowerShell, Azure CLI nebo rozhraní REST API.

   

4. Odhlaste se jako globální správce.

   Pokud používáte Privileged Identity Management, deaktivujte přiřazení role globálního správce.

   Poznámka:

   Pokud používáte Privileged Identity Management, deaktivace přiřazení role nezmění přepnutí správy přístupu pro prostředky Azure na Ne. Pokud chcete zachovat nejméně privilegovaný přístup, doporučujeme, abyste tento přepínač před deaktivací přiřazení role nastavili na Ne .

PowerShell

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí webu Azure Portal nebo rozhraní REST API můžete zvýšit úroveň přístupu pro globálního správce.

Krok 2: Výpis přiřazení role v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, vypíšete přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Krok 3: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu nebo jinému globálnímu správci se zvýšeným přístupem v kořenovém oboru.

2. Pomocí příkazu Remove-AzRoleAssignment odeberte přiřazení role Správce uživatelských přístupů.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit přístup globálního správce pomocí Azure CLI.

1. Pomocí příkazu az rest zavolejte elevateAccess koncový bod, který vám udělí roli Správce uživatelských přístupů v kořenovém oboru (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí Azure CLI.

3. Provedením kroků v další části odeberte přístup se zvýšenými oprávněními.

Krok 2: Výpis přiřazení role v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, vypíšete přiřazení role Správce uživatelských přístupů pro uživatele v kořenovém oboru (/), použijte příkaz az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Krok 3: Odebrání zvýšeného přístupu

Pokud chcete odebrat přiřazení role Správce uživatelských přístupů pro sebe nebo jiného uživatele v kořenovém oboru (/), postupujte takto.

1. Přihlaste se jako uživatel, který může odebrat přístup se zvýšenými oprávněními. Může to být stejný uživatel, který byl použit ke zvýšení úrovně přístupu nebo jinému globálnímu správci se zvýšeným přístupem v kořenovém oboru.

2. Pomocí příkazu az role assignment delete odeberte přiřazení role Správce uživatelských přístupů.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Požadavky

Musíte použít následující verze:

• 2015-07-01 nebo novější k výpisu a odebrání přiřazení rolí
• 2016-07-01 nebo novější pro zvýšení úrovně přístupu
• 2018-07-01-preview nebo novější, pokud chcete vypsat přiřazení zamítnutí

Další informace najdete v tématu Verze rozhraní API Azure RBAC REST API.

Krok 1: Zvýšení úrovně přístupu pro globálního správce

Pomocí následujících základních kroků můžete zvýšit přístup globálního správce pomocí rozhraní REST API.

1. Volání REST, elevateAccesskteré vám udělí roli Správce uživatelských přístupů v kořenovém oboru (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Proveďte změny, které je potřeba provést při zvýšeném přístupu.

   Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí rozhraní REST API.

3. Provedením kroků v další části odeberte přístup se zvýšenými oprávněními.

Krok 2: Výpis přiřazení rolí v kořenovém oboru (/)

Jakmile budete mít přístup se zvýšenými oprávněními, můžete zobrazit seznam všech přiřazení rolí pro uživatele v kořenovém oboru (/).

• Přiřazení rolí volání – seznam pro obor , kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení rolí chcete načíst.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Krok 3: Výpis přiřazení zamítnutí v kořenovém oboru (/)

Jakmile budete mít zvýšený přístup, můžete zobrazit seznam všech přiřazení zamítnutí pro uživatele v kořenovém oboru (/).

• Přiřazení zamítnutí volání – seznam pro obor , kde {objectIdOfUser} je ID objektu uživatele, jehož přiřazení zamítnutí chcete načíst.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Krok 4: Odebrání zvýšeného přístupu

Při volání elevateAccessvytvoříte přiřazení role pro sebe, takže pokud chcete tato oprávnění odvolat, musíte odebrat přiřazení role Správce uživatelských přístupů pro sebe v kořenovém oboru (/).

1. Definice rolí volání – Získejte , kde roleName se rovná správci uživatelských přístupů k určení ID jména role Správce uživatelských přístupů.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Uložte ID z parametru name v tomto případě 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Musíte také uvést přiřazení role pro správce tenanta v oboru tenanta. Uveďte všechna přiřazení v oboru tenanta pro principalId správce tenanta, který provedl volání přístupu se zvýšenými oprávněními. Zobrazí se seznam všech přiřazení v tenantovi pro id objektu.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Poznámka:

   Správce tenanta by neměl mít mnoho přiřazení. Pokud předchozí dotaz vrátí příliš mnoho přiřazení, můžete také zadat dotaz na všechna přiřazení v oboru tenanta a pak filtrovat výsledky: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Předchozí volání vrátí seznam přiřazení rolí. Vyhledejte přiřazení role, ve kterém je "/" obor a roleDefinitionId končí ID názvu role, které jste našli v kroku 1, a principalId odpovídá ID objektu správce tenanta.

   Ukázkové přiřazení role:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Znovu uložte ID z parametru name , v tomto případě 111111111-1111-1111-1111-11111111111111111111.

4. Nakonec pomocí ID přiřazení role odeberte přiřazení přidané elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Zobrazení uživatelů se zvýšeným přístupem

Pokud máte uživatele se zvýšeným přístupem, bannery se zobrazí na několika místech webu Azure Portal. Tato část popisuje, jak určit, jestli máte uživatele se zvýšeným přístupem ve vašem tenantovi. Tato funkce se nasazuje ve fázích, takže ještě nemusí být ve vašem tenantovi dostupná.

Možnost 1

1. Na webu Azure Portal přejděte do části Spravovat>vlastnosti ID>Microsoft Entra.

2. V části Správa přístupu pro prostředky Azure vyhledejte následující banner.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Výběrem odkazu Spravovat uživatele se zvýšenými oprávněními zobrazíte seznam uživatelů se zvýšenými oprávněními.

Možnost 2

1. Na webu Azure Portal přejděte k předplatnému.

2. Vyberte Řízení přístupu (IAM) .

3. V horní části stránky vyhledejte následující banner.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Výběrem odkazu Zobrazit přiřazení rolí zobrazíte seznam uživatelů se zvýšeným přístupem.

Odebrání zvýšeného přístupu pro uživatele

Pokud máte uživatele se zvýšeným přístupem, měli byste provést okamžitou akci a tento přístup odebrat. Pokud chcete tato přiřazení rolí odebrat, musíte mít také přístup se zvýšenými oprávněními. Tato část popisuje, jak odebrat přístup se zvýšenými oprávněními pro uživatele ve vašem tenantovi pomocí webu Azure Portal. Tato funkce se nasazuje ve fázích, takže ještě nemusí být ve vašem tenantovi dostupná.

1. Přihlaste se k webu Azure Portal jako globální správce.

2. Přejděte na spravovat>vlastnosti Microsoft Entra ID.>

3. V části Správa přístupu pro prostředky Azure nastavte přepínač na Ano , jak je popsáno výše v kroku 1: Zvýšení přístupu pro globálního správce.

4. Vyberte odkaz Spravovat uživatele se zvýšenými oprávněními.

   Zobrazí se podokno Uživatelé se zvýšenými oprávněními se seznamem uživatelů se zvýšeným přístupem ve vašem tenantovi.

   

5. Pokud chcete uživatelům odebrat přístup se zvýšenými oprávněními, přidejte vedle uživatele značku zaškrtnutí a vyberte Odebrat.

Zobrazení položek protokolu přístupu se zvýšenými oprávněními v protokolech aktivit adresáře

Při zvýšení úrovně přístupu se do protokolů přidá položka. Jako globální správce v Microsoft Entra ID můžete chtít zkontrolovat, kdy byl přístup zvýšen a kdo ho provedl. V protokolech standardních aktivit se nezobrazují položky protokolu přístupu se zvýšenými oprávněními, ale zobrazují se v protokolech aktivit adresáře. Tato část popisuje různé způsoby zobrazení položek protokolu přístupu se zvýšenými oprávněními.

Zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí webu Azure Portal

1. Přihlaste se k webu Azure Portal jako globální správce.

2. Přejděte do protokolu aktivit monitorování>.

3. Změňte seznam aktivit na aktivitu adresáře.

4. Vyhledejte následující operaci, která označuje akci přístupu se zvýšenými oprávněními.

   Assigns the caller to User Access Administrator role

   

Zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí Azure CLI

1. Pomocí příkazu az login se přihlaste jako globální správce.

2. Pomocí příkazu az rest proveďte následující volání, ve kterém budete muset filtrovat podle data, jak je znázorněno s ukázkovým časovým razítkem, a zadejte název souboru, do kterého chcete protokoly uložit.

   Volání url rozhraní API pro načtení protokolů v Microsoft.Insights. Výstup se uloží do souboru.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Ve výstupním souboru vyhledejte elevateAccess.

   Protokol bude vypadat podobně jako v následujícím příkladu, kde uvidíte časové razítko, kdy k akci došlo a kdo ji volal.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegování přístupu ke skupině za účelem zobrazení položek protokolu přístupu se zvýšenými oprávněními pomocí Azure CLI

Pokud chcete mít možnost pravidelně získávat položky protokolu přístupu se zvýšenými oprávněními, můžete delegovat přístup ke skupině a pak použít Azure CLI.

1. Přejděte do skupin Microsoft Entra ID>.

2. Vytvořte novou skupinu zabezpečení a poznamenejte si ID objektu skupiny.

3. Pomocí příkazu az login se přihlaste jako globální správce.

4. Pomocí příkazu az role assignment create přiřaďte roli Čtenář skupině, která může číst pouze protokoly na úrovni tenanta, které jsou nalezeny na Microsoft/Insightsadrese .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Přidejte uživatele, který bude číst protokoly do dříve vytvořené skupiny.

Uživatel ve skupině teď může pravidelně spouštět příkaz az rest a zobrazit položky protokolu přístupu se zvýšenými oprávněními.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Další kroky

• Vysvětlení různých rolí
• Přiřazení rolí Azure pomocí rozhraní REST API