Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen

Als globaler Administrator in Microsoft Entra ID haben Sie möglicherweise keinen Zugriff auf alle Abonnements und Verwaltungsgruppen in Ihrem Mandanten. In diesem Artikel erfahren Sie, wie Sie Ihren Zugriff auf alle Abonnements und Verwaltungsgruppen erhöhen.

Hinweis

Informationen zum Anzeigen oder Löschen personenbezogener Daten finden Sie in den Allgemeinen Anträgen betroffener Personen zu der DSGVO, Azure-Anträge betroffener Personen zu der DSGVO oder Windows-Anträge betroffener Personen zu der DSGVO, je nach Ihrem jeweiligen Bereich und Ihren Anforderungen. Weitere Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

In welchen Fällen müssen Sie Ihren Zugriff erhöhen?

Wenn Sie globaler Administrator sind, müssen Sie unter Umständen folgende Aktionen ausführen:

• Wiedererlangen des Zugriffs auf ein Azure-Abonnement oder eine Verwaltungsgruppe, wenn ein Benutzer keinen Zugriff mehr hat
• Gewähren von Zugriff auf ein Azure-Abonnement oder eine Azure-Verwaltungsgruppe für einen anderen Benutzer oder sich selbst
• Anzeigen aller Azure-Abonnements oder Verwaltungsgruppen in einer Organisation
• Zulassen des Zugriffs auf alle Azure-Abonnements oder Verwaltungsgruppen für eine Automation-App (etwa eine App für die Rechnungsstellung oder Überwachung)

Wie erhöhe ich den Zugriff?

Microsoft Entra ID und Azure-Ressourcen werden unabhängig voneinander geschützt. Das heißt, Microsoft Entra-Rollenzuweisungen gewähren keinen Zugriff auf Azure-Ressourcen, und Azure-Rollenzuweisungen gewähren keinen Zugriff auf Microsoft Entra-ID. Wenn Sie jedoch globaler Administrator in Microsoft Entra ID sind, können Sie sich selbst Zugriff auf alle Azure-Abonnements und -Verwaltungsgruppen in Ihrem Mandanten zuweisen. Verwenden Sie diese Funktion, wenn Sie keinen Zugriff auf Azure-Abonnementressourcen wie virtuelle Computer oder Speicherkonten haben und Ihre globalen Administratorrechte verwenden möchten, um Zugriff auf diese Ressourcen zu erhalten.

Wenn Sie Ihre Zugriffsrechte erhöhen, wird Ihnen die Rolle Benutzerzugriffsadministrator in Azure für den Stammbereich (/) zugewiesen. Auf diese Weise können Sie alle Ressourcen anzeigen und den Zugriff in jedem Abonnement oder jeder Verwaltungsgruppe im Mandanten zuweisen. Die Rollenzuweisung „Benutzerzugriffsadministrator“ kann mit Azure PowerShell, der Azure-Befehlszeilenschnittstelle oder der REST-API entfernt werden.

Sie sollten dieses erhöhte Zugriffsrecht entfernen, sobald Sie die Änderungen vorgenommen haben, die im Stammbereich erforderlich sind.

Führen Sie die Schritten auf Stammverzeichnis-Ebene aus.

Azure portal

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie diese Schritte aus, um die Zugriffsrechte für einen globalen Administrator mit dem Azure-Portal zu erhöhen.

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

   Wenn Sie Microsoft Entra Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Admin“.

2. Navigieren Sie zu Microsoft Entra ID>Verwalten>Eigenschaften.

   

3. Wählen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Option Ja.

   

   Wenn Sie Ja auswählen, wird Ihnen in Azure RBAC im Stammbereich (/) die Rolle „Benutzerzugriffsadministrator“ zugewiesen. Dadurch erhalten Sie die Berechtigung, Rollen in allen Azure-Abonnements und -Verwaltungsgruppen zuzuweisen, die diesem Microsoft Entra-Mandanten zugeordnet sind. Diese Option ist nur für Benutzer*innen verfügbar, denen in Microsoft Entra ID die globale Administratorrolle zugewiesen wurde.

   Wenn Sie Nein festlegen, wird die Rolle „Benutzerzugriffsadministrator“ in Azure RBAC aus Ihrem Benutzerkonto entfernt. Sie können dann keine Rollen mehr in allen Azure-Abonnements und -Verwaltungsgruppen zuweisen, die diesem Microsoft Entra-Mandanten zugeordnet sind. Sie können nur die Azure-Abonnements und Verwaltungsgruppen anzeigen und verwalten, für die Ihnen der Zugriff gewährt wurde.

   Hinweis

   Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

4. Wählen Sie Speichern aus, um Ihre Einstellung zu speichern.

   Diese Einstellung ist keine globale Eigenschaft und gilt nur für den aktuell angemeldeten Benutzer. Sie können den Zugriff nicht für alle Mitglieder der globalen Administratorrolle erhöhen.

5. Melden Sie sich ab und wieder an, um den Zugriff zu aktualisieren.

   Sie sollten jetzt auf alle Azure-Abonnements und -Verwaltungsgruppen in Ihrem Mandanten zugreifen können. Wenn Sie die Seite „Zugriffssteuerung (IAM)“ anzeigen, werden Sie feststellen, dass Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich zugewiesen wurde.

   

6. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit dem Azure-Portal. Wenn Sie Privileged Identity Management verwenden, lesen Sie Ermitteln von Azure-Ressourcen zur Verwaltung oder Zuweisen von Azure-Ressourcenrollen.

7. Führen Sie die Schritte im folgenden Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Entfernen von erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zu entfernen.

1. Melden Sie sich als derselbe Benutzer an, mit dem der Zugriff erhöht wurde.

2. Navigieren Sie zu Microsoft Entra ID>Verwalten>Eigenschaften.

3. Ändern Sie die Option Zugriffsverwaltung für Azure-Ressourcen wieder in Nein. Da es sich um eine benutzerspezifische Einstellung handelt, müssen Sie als der Benutzer angemeldet sein, der den Zugriff erhöht hat.

   Wenn Sie versuchen, die Rollenzuweisung „Benutzerzugriffsadministrator“ auf der Seite „Zugriffssteuerung (IAM)“ zu entfernen, wird die folgende Meldung angezeigt. Um die Rollenzuweisung zu entfernen, müssen Sie den Umschalter wieder auf Nein festlegen oder Azure PowerShell, die Azure-Befehlszeilenschnittstelle oder die REST-API verwenden.

   

4. Melden Sie sich als „Globaler Administrator“ ab.

   Wenn Sie Privileged Identity Management verwenden, aktivieren Sie Ihre Rollenzuweisung „Globaler Administrator“.

   Hinweis

   Wenn Sie Privileged Identity Management verwenden, ändert die Deaktivierung Ihrer Rollenzuweisung den Umschalter Zugriffsverwaltung für Azure-Ressourcen nicht in Nein. Um den Zugriff mit den geringsten Rechten zu gewähren, empfehlen wir Ihnen das Festlegen dieses Umschalters auf Nein, bevor Sie Ihre Rollenzuweisung deaktivieren.

PowerShell

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Verwenden Sie das Azure-Portal oder die REST-API, um die Zugriffsrechte für einen Globalen Admin zu erhöhen.

Schritt 2: Auflisten der Rollenzuweisung auf Stammverzeichnis-Ebene (/)

Nachdem Sie die Zugriffsrechte erhöht haben, verwenden Sie auf Stammverzeichnis-Ebene (/) den Befehl Get-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadmin“ aufzulisten.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Schritt 3: Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

2. Verwenden Sie den Befehl Remove-AzRoleAssignment, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie die folgenden grundlegenden Schritte aus, um die Zugriffsrechte für einen globalen Administrator über die Azure CLI zu erhöhen.

1. Rufen Sie mit dem Befehl az rest den Endpunkt elevateAccess auf. Dadurch wird Ihnen die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/) zugewiesen.

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Auflisten der Rollenzuweisung auf Stammverzeichnis-Ebene (/)

Nachdem Sie die Zugriffsrechte erhöht haben, verwenden Sie auf Stammverzeichnis-Ebene (/) den Befehl az role assignment list, um die Zuweisung der Rolle „Benutzerzugriffsadmin“ aufzulisten.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Schritt 3: Entfernen der erhöhten Zugriffsrechte

Führen Sie die folgenden Schritte aus, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ für Sie selbst oder einen anderen Benutzer im Stammbereich (/) zu entfernen.

1. Melden Sie sich als Benutzer an, der erhöhte Zugriffsrechte entfernen kann. Hierbei kann es sich um den Benutzer, der den Zugriff erhöht hat, oder einen anderen globalen Administrator handeln, der über erhöhte Zugriffsrechte im Stammbereich verfügt.

2. Verwenden Sie den Befehl az role assignment delete, um die Zuweisung der Rolle „Benutzerzugriffsadministrator“ zu entfernen.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST-API

Voraussetzungen

Sie müssen die folgenden Versionen verwenden:

• 2015-07-01 oder höher, um Rollenzuweisungen aufzulisten und zu entfernen
• 2016-07-01 oder höher, um die Zugriffsrechte zu erhöhen
• 2018-07-01-preview oder höher, um Ablehnungszuweisungen zu listen

Weitere Informationen finden Sie unter API-Versionen von Azure RBAC REST-APIs.

Schritt 1: Erhöhen der Zugriffsrechte für einen Globalen Admin

Führen Sie die folgenden grundlegenden Schritte aus, um mithilfe der REST-API die Zugriffsrechte für einen globalen Administrator zu erhöhen.

1. Rufen Sie mithilfe von REST elevateAccess auf. So erhalten Sie die Rolle „Benutzerzugriffsadministrator“ im Stammbereich (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Führen Sie die erforderlichen Änderungen für erhöhte Zugriffsrechte durch.

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zuweisen von Azure-Rollen mit der REST-API.

3. Führen Sie die Schritte in einem späteren Abschnitt aus, um die erhöhten Zugriffsrechte zu entfernen.

Schritt 2: Auflisten der Rollenzuweisungen auf Stammverzeichnis-Ebene (/)

Nachdem Sie den Zugriff erhöht haben, können Sie alle Rollenzuweisungen auf Stammverzeichnis-Ebene (/) auflisten.

• Rufen Sie Rollenzuweisungen – Für Bereich auflisten auf. Dabei entspricht {objectIdOfUser} der Objekt-ID des Benutzers, dessen Rollenzuweisungen Sie abrufen möchten.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Schritt 3: Auflisten der Ablehnungszuweisungen auf Stammverzeichnis-Ebene (/)

Nachdem Sie den Zugriff erhöht haben, können Sie alle Ablehnungszuweisungen auf Stammverzeichnis-Ebene (/) auflisten.

• Rufen Sie Ablehnungszuweisungen – Für Bereich auflisten auf. Dabei entspricht {objectIdOfUser} der Objekt-ID der Person, deren Ablehnungszuweisungen Sie abrufen möchten.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Schritt 4: Entfernen der erhöhten Zugriffsrechte

Beim Aufruf von elevateAccess erstellen Sie eine Rollenzuweisung für sich selbst. Um diese Berechtigungen zu widerrufen, müssen Sie die Rollenzuweisung „Benutzerzugriffsadministrator“ für sich selbst im Stammbereich (/) entfernen.

1. Rufen Sie Rollendefinitionen – Abrufen mit „User Access Administrator“ für roleName auf, um die Namens-ID der Rolle des Benutzerzugriffsadministrators abzurufen.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Speichern Sie die ID aus dem name-Parameter (in diesem Fall 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9).

2. Sie müssen auch die Rollenzuweisung für den Mandantenadministrator im Mandantenbereich auflisten. Listen Sie alle Zuweisungen im Mandantenbereich für principalId des Mandantenadministrators auf, der den Aufruf mit erhöhten Zugriffsrechten vorgenommen hat. Dadurch werden alle Zuweisungen im Mandanten für „objectid“ aufgelistet.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Hinweis

   Ein Mandantenadministrator sollte nicht über viele Zuweisungen verfügen. Wenn die obige Abfrage zu viele Zuweisungen zurückgibt, können Sie auch Abfragen für alle Zuweisungen nur im Mandantenbereich durchführen und dann die Ergebnisse filtern: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Mit den oben aufgeführten Aufrufe wird eine Liste von Rollenzuweisungen zurückgegeben. Suchen Sie die Rollenzuweisung, bei der der Bereich "/" lautet und roleDefinitionId mit der Rollennamen-ID endet, die Sie in Schritt 1 ermittelt haben, und principalId der Objekt-ID des Mandantenadministrators entspricht.

   Beispielrollenzuweisung:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Speichern Sie erneut die ID aus dem name-Parameter (in diesem Fall „11111111-1111-1111-1111-111111111111“).

4. Verwenden Sie abschließend die Rollenzuweisungs-ID, um die durch elevateAccess hinzugefügte Zuweisung zu entfernen:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Anzeigen von Benutzern mit erhöhten Zugriffsrechten

Wenn Sie Benutzer mit erhöhten Zugriffsrechten haben, werden Banner an mehreren Stellen des Azure-Portals angezeigt. In diesem Abschnitt wird beschrieben, wie Sie ermitteln können, ob Sie Benutzer mit erhöhten Zugriffsrechten in Ihrem Mandanten haben. Diese Funktion wird in Phasen bereitgestellt und ist daher möglicherweise noch nicht in Ihrem Mandanten verfügbar.

Option 1:

1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID>Verwalten>Eigenschaften.

2. Sehen Sie sich unter Zugriffsverwaltung für Azure-Ressourcen das folgenden Banner an.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Wählen Sie den Link Benutzer mit erhöhten Zugriffsrechten verwalten aus, um eine Liste der Benutzer mit erhöhten Zugriffsrechten anzuzeigen.

Option 2:

1. Navigieren Sie im Azure-Portal zu einem Abonnement.

2. Wählen Sie Zugriffssteuerung (IAM) aus.

3. Sehen Sie sich oben auf der Seite das folgende Banner an.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Wählen Sie den Link Rollenzuweisungen anzeigen aus, um eine Liste der Benutzer mit erhöhten Zugriffsrechten anzuzeigen.

Entfernen von erhöhten Zugriffsrechten für Benutzer

Wenn Sie Benutzer mit erhöhten Zugriffsrechten haben, sollten Sie sofortige Maßnahmen ergreifen und diesen Zugriff entfernen. Um diese Rollenzuweisungen zu entfernen, müssen Sie auch über erhöhte Zugriffsrechte verfügen. In diesem Abschnitt wird beschrieben, wie Sie erhöhte Zugriffsrechte für Benutzer in Ihrem Mandanten mithilfe des Azure-Portals entfernen. Diese Funktion wird in Phasen bereitgestellt und ist daher möglicherweise noch nicht in Ihrem Mandanten verfügbar.

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

2. Navigieren Sie zu Microsoft Entra ID>Verwalten>Eigenschaften.

3. Legen Sie unter Zugriffsverwaltung für Azure-Ressourcen die Umschaltfläche auf Ja fest, wie weiter oben in Schritt 1: Erhöhen der Zugriffsrechte für einen globalen Administrator beschrieben.

4. Wählen Sie den Link Benutzer mit erhöhten Zugriffsrechten verwalten aus.

   Der Bereich Benutzer mit erhöhten Zugriffsrechten wird mit einer Liste von Benutzern mit erhöhten Zugriffsrechten in Ihrem Mandanten angezeigt.

   

5. Um erhöhte Zugriffsrechte für Benutzer zu entfernen, aktivieren Sie das Kontrollkästchen neben dem Benutzer, und wählen Sie Entfernen aus.

Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten

Wenn das Zugriffsrecht erhöht oder entfernt wird, wird den Protokollen ein Eintrag hinzugefügt. Als Administrator in Microsoft Entra ID sollten Sie überprüfen, ob das Zugriffsrecht erhöht wurde und wer diesen Vorgang ausgeführt hat.

Protokolleinträge zu erhöhten Zugriffsrechten werden sowohl in den Microsoft Entra-Verzeichnisüberwachungsprotokollen als auch in den Azure-Aktivitätsprotokollen angezeigt. Protokolleinträge zu erhöhten Zugriffsrechten für Verzeichnisüberwachungsprotokolle und Aktivitätsprotokolle enthalten ähnliche Informationen. Die Verzeichnisüberwachungsprotokolle sind jedoch einfacher zu filtern und zu exportieren. Darüber hinaus können Sie mit der Exportfunktion Zugriffsereignisse streamen, die für Ihre Warnungs- und Erkennungslösungen wie Microsoft Sentinel oder andere Systeme verwendet werden können. Informationen zum Senden von Protokollen an verschiedene Ziele finden Sie unter Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle.

In diesem Abschnitt werden verschiedene Möglichkeiten beschrieben, wie Sie die Protokolleinträge zu erhöhten Zugriffsrechten anzeigen können.

Microsoft Entra-Überwachungsprotokolle

Wichtig

Die Protokolleinträge zu erhöhten Zugriffsrechten in den Microsoft Entra-Verzeichnisüberwachungsprotokollen befinden sich derzeit in der Vorschau. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

2. Navigieren Sie zu Microsoft Entra ID>Überwachung>Überwachungsprotokolle.

3. Wählen Sie im Filter Dienst die Option Azure RBAC (Erhöhter Zugriff) aus, und wählen Sie dann Anwenden aus.

   Protokolle zu erhöhtem Zugriff werden angezeigt.

   

4. Wenn Sie Details anzeigen möchten, nachdem der Zugriff erhöht oder entfernt wurde, wählen Sie diese Überwachungsprotokolleinträge aus.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Um die Nutzlast der Protokolleinträge im JSON-Format herunterzuladen und anzuzeigen, wählen Sie Download und JSON aus.

   

Azure-Aktivitätsprotokolle

Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten im Azure-Portal

1. Melden Sie sich als globaler Administrator am Azure-Portal an.

2. Navigieren Sie zu Monitor>Aktivitätsprotokoll.

3. Ändern Sie die Liste Aktivität zu Verzeichnisaktivität.

4. Suchen Sie nach dem folgenden Vorgang, der auf eine Aktion zum Erhöhen von Zugriffsrechten hinweist.

   Assigns the caller to User Access Administrator role

   

Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten mithilfe der Azure CLI

1. Verwenden Sie den Befehl az login, um sich als globaler Administrator anzumelden.

2. Verwenden Sie den Befehl az rest, um folgenden Aufruf auszuführen. Dabei müssen Sie nach einem Datum filtern – wie im Beispielzeitstempel gezeigt – und einen Dateinamen angeben, unter dem die Protokolle gespeichert werden sollen.

   url ruft eine API auf, mit der die Protokolle in Microsoft.Insights abgerufen werden. Die Ausgabe wird in Ihrer Datei gespeichert.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Suchen Sie in der Ausgabedatei nach elevateAccess.

   Das Protokoll ähnelt der folgenden Ausgabe, in der Sie ablesen können, wann und durch wen die Aktion ausgeführt wurde.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegieren des Zugriffs an eine Gruppe zum Anzeigen von Protokolleinträgen zu erhöhten Zugriffsrechten mithilfe der Azure CLI

Wenn Sie die Protokolleinträge zu erhöhten Zugriffsrechten regelmäßig abrufen möchten, können Sie den Zugriff an eine Gruppe delegieren und dann die Azure CLI verwenden.

1. Navigieren Sie zu Microsoft Entra ID>Gruppen.

2. Erstellen Sie eine neue Sicherheitsgruppe, und notieren Sie sich die Gruppenobjekt-ID.

3. Verwenden Sie den Befehl az login, um sich als globaler Administrator anzumelden.

4. Verwenden Sie den Befehl az role assignment create, um der Gruppe die Rolle Leser zuzuweisen. Diese kann nur Protokolle auf Mandantenebene lesen, die sich unter Microsoft/Insights befinden.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Fügen Sie einen Benutzer hinzu, der Protokolle für die zuvor erstellte Gruppe liest.

Ein Mitglied der Gruppe kann jetzt regelmäßig den Befehl az rest ausführen, um Protokolleinträge zu erhöhten Zugriffsrechten anzuzeigen.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nächste Schritte

• Grundlegendes zu den verschiedenen Rollen
• Zuweisen von Azure-Rollen mithilfe der REST-API