Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure

Como administrador global de Microsoft Entra ID, es posible que no tenga acceso a todas las suscripciones y grupos de administración del inquilino. En este artículo se describen los medios para elevar sus derechos de acceso a todas las suscripciones y grupos de administración.

Nota:

Para obtener información acerca de cómo ver o eliminar datos personales, consulte Solicitudes generales de interesados para el RGPD, Solicitudes de los interesados de Azure para el RGPD, o Solicitudes de los interesados de Windows para el RGPD, en función de sus necesidades y áreas específicas. Para más información sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.

¿Por qué necesita elevar los derechos de acceso?

Si es un administrador global, es posible que haya momentos en los que quiera realizar las siguientes acciones:

• Recuperar el acceso a una suscripción o grupo de administración de Azure cuando un usuario ha perdido el acceso
• Conceder a otro usuario o a sí mismo acceso a un grupo de administración o una suscripción de Azure
• Ver todas las suscripciones o grupos de administración de Azure de una organización
• Permitir que una aplicación de automatización (por ejemplo, una aplicación de facturación o auditoría) tenga acceso a todas las suscripciones o grupos de administración de Azure

¿Cómo funciona el acceso con privilegios elevados?

Microsoft Entra ID y los recursos de Azure están protegidos de forma independiente entre sí. Es decir, las asignaciones de roles de Microsoft Entra no conceden acceso a los recursos de Azure y las asignaciones de roles de Azure no conceden acceso a Microsoft Entra ID. Sin embargo, si es Administrador global en Microsoft Entra ID, puede asignarse acceso a todas las suscripciones y grupos de administración de Azure del inquilino. Use esta funcionalidad si no tiene acceso a recursos de suscripción a Azure, como máquinas virtuales o cuentas de almacenamiento, y quiere usar su privilegio de administrador global para obtener acceso a esos recursos.

Al elevar el acceso, se le asigna el rol Administrador de acceso de usuario en Azure en el ámbito raíz (/). Esto le permite ver todos los recursos y asignar acceso en cualquier suscripción o grupo de administración del inquilino. Se pueden quitar las asignaciones de roles de administrador de acceso de usuario mediante Azure PowerShell, CLI de Azure o la API de REST.

Debe quitar este acceso con privilegios elevados una vez que haya hecho los cambios necesarios en el ámbito raíz.

Pasos a realizar en el ámbito raíz

Azure Portal

Paso 1: Elevación de los privilegios de acceso de un administrador global

Siga estos pasos para elevar los privilegios de acceso de un administrador global mediante Azure Portal.

1. Inicie sesión en Azure Portal como administrador global.

   Si usa Microsoft Entra Privileged Identity Management, active la asignación de roles de administrador global.

2. Vaya a Microsoft Entra ID>Administrar>Propiedades.

   

3. En Administración del acceso para los recursos de Azure, establezca el botón de alternancia en Sí.

   

   Al establecer el botón de alternancia en Sí, se le asigna el rol de administrador de accesos de usuario en Azure RBAC en el ámbito raíz (/). Esto le concede permiso para asignar roles en todas las suscripciones y grupos de administración de Azure asociados a este inquilino de Microsoft Entra. Este botón de alternancia solo está disponible para los usuarios que tengan asignado el rol de administrador global de Microsoft Entra ID.

   Al establecer el botón de alternancia en No, se quita el rol de administrador de accesos de usuario en Azure RBAC de su cuenta de usuario. Ya no puede asignar roles en todas las suscripciones y grupos de administración de Azure asociados a este inquilino de Microsoft Entra. Puede ver y administrar solo las suscripciones de Azure y los grupos de administración a los que se le ha concedido acceso.

   Nota:

   Si usa Privileged Identity Management, la desactivación de la asignación de roles no cambia la opción Administración de acceso para recursos de Azure a No. Para mantener el acceso con privilegios mínimos, se recomienda establecer esta opción en No antes de desactivar la asignación de roles.

4. Seleccione Guardar para guardar la configuración.

   Esta configuración no es una propiedad global y se aplica solo al usuario que tiene la sesión iniciada. No puede elevar los privilegios de acceso para todos los miembros del rol de administrador global.

5. Cierre la sesión e inicie sesión de nuevo para actualizar el acceso.

   Ahora debería tener acceso a todas las suscripciones y grupos de administración del inquilino. Al ver la página Control de acceso (IAM), observará que se le ha asignado el rol Administrador de acceso de usuario en el ámbito raíz.

   

6. Haga los cambios que tenga que hacer con privilegios de acceso elevados.

   Para obtener más información sobre la asignación de roles, consulte Asignaciones de roles de Azure mediante Azure Portal. Si usa Privileged Identity Management, consulte Detección de recursos de Azure para administrar o Asignación de roles de recursos de Azure.

7. Siga los pasos de la sección siguiente para quitar el acceso con privilegios elevados.

Paso 2: Eliminación de privilegios de acceso elevados

Para quitar la asignación del rol de administrador de accesos de usuario en el ámbito raíz (/), siga estos pasos.

1. Inicie sesión como el mismo usuario que se usó para elevar el acceso.

2. Vaya a Microsoft Entra ID>Administrar>Propiedades.

3. Establezca el botón de alternancia Administración del acceso para los recursos de Azure de nuevo en No. Puesto que se trata de una configuración que se realiza a nivel de usuario, debe haber iniciado sesión con el mismo usuario que el utilizado para elevar los privilegios de acceso.

   Si intenta quitar la asignación de roles Administrador de acceso de usuario en la página Control de acceso (IAM), verá el siguiente mensaje. Para quitar la asignación de roles, debe establecer el botón de alternancia en No o usar Azure PowerShell, la CLI de Azure o la API REST.

   

4. Cerrar sesión como un administrador global.

   Si usa Privileged Identity Management, desactive la asignación de roles de administrador global.

   Nota:

   Si usa Privileged Identity Management, la desactivación de la asignación de roles no cambia la opción Administración de acceso para recursos de Azure a No. Para mantener el acceso con privilegios mínimos, se recomienda establecer esta opción en No antes de desactivar la asignación de roles.

PowerShell

Paso 1: Elevación de los privilegios de acceso de un administrador global

Use Azure Portal o la API REST para elevar los privilegios de acceso de un administrador global.

Paso 2: Enumeración de la asignación de roles en el ámbito raíz (/)

Una vez que tenga privilegios de acceso elevados, para mostrar la asignación del rol de administrador de accesos de usuario para un usuario en el ámbito raíz (/), use el comando Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Paso 3: Eliminación de privilegios de acceso elevados

Para quitarse a usted o a otro usuario la asignación del rol de administrador de accesos de usuario en el ámbito raíz (/), siga estos pasos.

1. Inicie sesión como un usuario que puede quitar los privilegios de acceso elevado. Puede ser el mismo usuario que se usó para elevar los privilegios de acceso u otro administrador global con privilegios de acceso elevados en el ámbito raíz.

2. Use el comando Remove-AzRoleAssignment para quitar la asignación del rol de administrador de accesos de usuario.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

CLI de Azure

Paso 1: Elevación de los privilegios de acceso de un administrador global

Utilice los siguientes pasos básicos para elevar los privilegios de acceso de un administrador global mediante la CLI de Azure.

1. Use el comando az rest para llamar al punto de conexión elevateAccess, que le concede el rol de administrador de accesos de usuario en el ámbito raíz (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Haga los cambios que tenga que hacer con privilegios de acceso elevados.

   Para obtener más información sobre la asignación de roles, consulte Asignaciones de roles de Azure mediante la CLI de Azure.

3. Siga los pasos de una sección posterior para quitar el acceso con privilegios elevados.

Paso 2: Enumeración de la asignación de roles en el ámbito raíz (/)

Una vez que tenga privilegios de acceso elevados, para mostrar la asignación del rol de administrador de accesos de usuario para un usuario en el ámbito raíz (/), use el comando az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Paso 3: Eliminación de privilegios de acceso elevados

Para quitarse a usted o a otro usuario la asignación del rol de administrador de accesos de usuario en el ámbito raíz (/), siga estos pasos.

1. Inicie sesión como un usuario que puede quitar los privilegios de acceso elevado. Puede ser el mismo usuario que se usó para elevar los privilegios de acceso u otro administrador global con privilegios de acceso elevados en el ámbito raíz.

2. Use el comando az role assignment delete para quitar la asignación del rol de administrador de accesos de usuario.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Requisitos previos

Debe usar las versiones siguientes:

• 2015-07-01 o posterior para enumerar y quitar asignaciones de roles
• 2016-07-01 o posterior para elevar el acceso
• 2018-07-01-preview o posterior para enumerar las asignaciones de denegación

Para obtener más información, consulte Versiones de la API REST de RBAC de Azure.

Paso 1: Elevación de los privilegios de acceso de un administrador global

Utilice los siguientes pasos básicos para elevar los privilegios de acceso de un administrador global mediante la API de REST.

1. Mediante REST, llame a elevateAccess. Entonces, se le concede el rol de administrador de accesos de usuario en el ámbito raíz (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Haga los cambios que tenga que hacer con privilegios de acceso elevados.

   Para obtener más información sobre la asignación de roles, consulte Asignaciones de roles de Azure mediante la API REST.

3. Siga los pasos de una sección posterior para quitar el acceso con privilegios elevados.

Paso 2: Enumeración de las asignaciones de roles en el ámbito raíz (/)

Una vez que tenga privilegios de acceso elevados, puede enumerar todas las asignaciones de roles para un usuario en el ámbito raíz (/).

• Llame a Role Assignments - List For Scope donde {objectIdOfUser} es el id. de objeto del usuario cuyas asignaciones de roles quiere recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Paso 3: Enumeración de las asignaciones de denegación en el ámbito raíz (/)

Una vez que tenga privilegios de acceso elevados, puede enumerar todas las asignaciones de denegación para un usuario en el ámbito raíz (/).

• Llame a Deny Assignments - List For Scope, donde {objectIdOfUser} es el id. de objeto del usuario cuyas asignaciones de denegación quiere recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Paso 4: Eliminación de privilegios de acceso elevados

Cuando llama a elevateAccess, se crea una asignación de roles para usted, por lo que, para revocar esos privilegios, debe quitarse la asignación de rol de administrador de accesos de usuario en el ámbito raíz (/).

1. Llame a Role Definitions - Get, donde roleName es el administrador de accesos de usuario, para determinar el identificador del nombre del rol de administrador de accesos de usuario.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Guarde el id. del parámetro name; en este caso: 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. También debe enumerar la asignación de roles para el administrador de inquilinos en el ámbito del inquilino. Mostrar todas las asignaciones en el ámbito del inquilino para principalId del administrador de inquilinos, que realizó la llamada de elevación de privilegios de acceso. Esto mostrará todas las asignaciones en el inquilino para ObjectID.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Nota:

   Un administrador de inquilinos no debe tener muchas asignaciones. Si la consulta anterior devuelve demasiadas asignaciones, también puede consultar todas las asignaciones solo en el ámbito del inquilino y a continuación, filtrar los resultados: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Las llamadas anteriores devuelven una lista de asignaciones de roles. Busque la asignación de roles en la que el ámbito sea "/", roleDefinitionIdtermine con el id. del nombre de rol que se encuentra en el paso 1, y principalId coincida con el valor de ObjectId del administrador de inquilinos.

   Ejemplo de asignación de rol:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Vuelva a guardar el Id. del parámetro name; en este caso, 11111111-1111-1111-1111-111111111111.

4. Por último, utilice el id. de asignación de roles para quitar la asignación agregada por elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Visualización de usuarios con acceso elevado

Si tiene usuarios con acceso elevado, los banners se muestran en un par de ubicaciones de Azure Portal. En esta sección se describe cómo determinar si tiene usuarios con acceso elevado en el inquilino. Esta funcionalidad se está implementando en fases, por lo que es posible que aún no esté disponible en el inquilino.

Opción 1

1. En Azure Portal, vaya a Microsoft Entra ID>Administrar>Propiedades.

2. En Administración de acceso para recursos de Azure, busque el siguiente banner.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Seleccione el vínculo Administrar usuarios de acceso elevados para ver una lista de usuarios con acceso elevado.

Opción 2

1. En Azure Portal, vaya a una suscripción.

2. Seleccione Control de acceso (IAM).

3. En la parte superior de la página, busque el siguiente banner.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Seleccione el vínculo Ver asignaciones de roles para ver una lista de usuarios con acceso elevado.

Eliminación del acceso con privilegios elevados para los usuarios

Si tiene usuarios con acceso elevado, debe tomar medidas inmediatas y quitar ese acceso. Para quitar estas asignaciones de roles, también debe tener acceso elevado. En esta sección se describe cómo quitar el acceso elevado para los usuarios del inquilino mediante Azure Portal. Esta funcionalidad se está implementando en fases, por lo que es posible que aún no esté disponible en el inquilino.

1. Inicie sesión en Azure Portal como administrador global.

2. Vaya a Microsoft Entra ID>Administrar>Propiedades.

3. En Administración de acceso para recursos de Azure, establezca el botón de alternancia en Sí tal como se describe anteriormente en Paso 1: Elevar el acceso para un administrador global.

4. Seleccione el vínculo Administrar usuarios de acceso con privilegios elevados.

   Aparece el panel Usuarios con acceso con privilegios elevados con una lista de usuarios con acceso elevado en el inquilino.

   

5. Para quitar el acceso elevado para los usuarios, agregue una marca de verificación junto al usuario y seleccione Quitar.

Visualización de las entradas de registros de elevación del acceso

Cuando se eleva o se quita el acceso, se agrega una entrada a los registros. Como administrador de Microsoft Entra ID, es posible que quiera comprobar cuándo se elevó el acceso y quién lo hizo.

Las entradas de registro de elevación de acceso aparecen tanto en los registros de auditoría del directorio de Microsoft Entra como en los registros de actividad de Azure. Las entradas de registro de elevación de acceso para los registros de auditoría de directorio y los registros de actividad incluyen información similar. Sin embargo, los registros de auditoría de directorio son más fáciles de filtrar y exportar. Además, la funcionalidad de exportación permite transmitir eventos de acceso, que se pueden usar para las soluciones de alerta y detección, como Microsoft Sentinel u otros sistemas. Para obtener información sobre cómo enviar registros a diferentes destinos, consulte Establecer la configuración de diagnóstico de Microsoft Entra para los registros de actividad.

En esta sección se describen distintas formas de ver las entradas de los registros de elevación del acceso.

Registros de auditoría de Microsoft Entra

Importante

Las entradas de registros de elevación de acceso en los registros de auditoría de directorios de Microsoft Entra se encuentra actualmente en versión preliminar. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

1. Inicie sesión en Azure Portal como administrador global.

2. Vaya a Microsoft Entra ID>Supervisión>Registros de auditoría.

3. En el filtro Servicio, seleccione Azure RBAC (elevación de acceso) y, a continuación, seleccione Aplicar.

   Se mostrarán los registros de elevación de acceso.

   

4. Para ver los detalles sobre cuándo se elevó o quitó el acceso, seleccione estas entradas del registro de auditoría.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Para descargar y ver la carga de las entradas de registro en formato JSON, seleccione Descargar y JSON.

   

Registros de actividad de Azure

Visualización de las entradas de los registros de elevación del acceso mediante Azure Portal

1. Inicie sesión en Azure Portal como administrador global.

2. Vaya a Monitor>Registro de actividad.

3. Cambie la lista Actividad por Actividad de directorio.

4. Busque la siguiente operación, que significa la acción de elevación del acceso.

   Assigns the caller to User Access Administrator role

   

Visualización de las entradas de los registros de elevación del acceso mediante la CLI de Azure

1. Use el comando az login para iniciar sesión como administrador global.

2. Use el comando az rest para realizar la siguiente llamada en la que tendrá que filtrar por una fecha, como se muestra con la marca de tiempo de ejemplo, y especificar el nombre de archivo donde quiere que se almacenen los registros.

   url llama a una API para recuperar los registros en Microsoft.Insights. La salida se guardará en el archivo.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. En el archivo de salida, busque elevateAccess.

   El registro será similar al siguiente, donde puede ver la marca de tiempo de cuándo se produjo la acción y quién lo llamó.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegación del acceso a un grupo para ver las entradas de los registros de elevación del acceso mediante la CLI de Azure

Si quiere obtener periódicamente las entradas de los registros de elevación del acceso, puede delegar el acceso a un grupo y, luego, usar la CLI de Azure.

1. Vaya a Microsoft Entra ID>Grupos.

2. Cree un grupo de seguridad y anote el identificador del objeto de grupo.

3. Use el comando az login para iniciar sesión como administrador global.

4. Use el comando az role assignment create para asignar el rol Lector al grupo que solo puede leer registros en el nivel de inquilino, que se encuentran en Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Agregue un usuario que lea los registros en el grupo creado anteriormente.

Un usuario del grupo ahora puede ejecutar periódicamente el comando az rest para ver las entradas de los registros de elevación del acceso.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Pasos siguientes

• Descripción de los distintos roles
• Asignación de roles de Azure mediante la API REST