Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure

In qualità di amministratore globale in Microsoft Entra ID, potrebbe non avere accesso a tutte le sottoscrizioni e i gruppi di gestione nel tenant. Questo articolo descrive i modi in cui è possibile elevare i privilegi di accesso a tutte le sottoscrizioni e tutti i gruppi di gestione.

Nota

Per informazioni sulla visualizzazione o l'eliminazione di dati personali, vedere Richieste generali dell'interessato per il GDPR, richieste dell'interessato di Azure per il GDPR o richieste dell'interessato windows per il GDPR, a seconda dell'area e delle esigenze specifiche. Per altre informazioni sul Regolamento generale sulla protezione dei dati (GDPR), vedere la sezione del GDPR del Centro protezione di Microsoft e la sezione del GDPR del Service Trust Portal.

Motivi per cui può essere necessario elevare i privilegi di accesso

Se si è un amministratore globale, potrebbero verificarsi momenti in cui si desidera eseguire le azioni seguenti:

• Ottenere nuovamente l'accesso a una sottoscrizione o a un gruppo di gestione di Azure quando un utente ha perso l'accesso
• Concedere a un altro utente o a se stesso l'accesso a una sottoscrizione o a un gruppo di gestione di Azure
• Visualizzare tutte le sottoscrizioni o tutti i gruppi di gestione di Azure in un'organizzazione
• Concedere a un'app di automazione (come un'app di fatturazione o di controllo) l'accesso a tutte le sottoscrizioni o a tutti i gruppi di gestione di Azure

Come funziona l'elevazione dei privilegi di accesso?

Le risorse di Microsoft Entra ID e Azure sono protette in modo indipendente le une dalle altre. Questo significa che le assegnazioni di ruolo di Microsoft Entra non concedono l'accesso alle risorse di Azure e le assegnazioni di ruolo di Azure non concedono l'accesso a Microsoft Entra ID. Tuttavia, se si è un amministratore globale in Microsoft Entra ID, è possibile assegnare a se stessi l'accesso a tutte le sottoscrizioni e i gruppi di gestione di Azure nel tenant. Usare questa funzionalità se non si ha accesso alle risorse della sottoscrizione di Azure, come le macchine virtuali o gli account di archiviazione, e si vuole usare il privilegio di amministratore globale per ottenere l'accesso a queste risorse.

Quando si eleva l'accesso, viene assegnato il ruolo Amministratore accesso utenti in Azure nell'ambito radice (/). In questo modo è possibile visualizzare tutte le risorse e assegnare l'accesso in qualsiasi sottoscrizione o gruppo di gestione nel tenant. Le assegnazioni di ruolo Amministratore accessi utente possono essere rimosse usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

L'accesso con privilegi elevati dovrebbe essere rimosso una volta apportate le modifiche necessarie nell'ambito radice.

Eseguire i passaggi nell'ambito radice

Azure portal

Passaggio 1: Elevare l'accesso per un amministratore globale

Seguire questa procedura per eseguire con privilegi elevati l'accesso per un amministratore globale usando il portale di Azure.

1. Accedere al portale di Azure come amministratore globale.

   Se si utilizza Microsoft Entra Privileged Identity Management, attivare l'assegnazione di ruolo amministratore globale.

2. Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).

   

3. In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì.

   

   Quando si imposta l'interruttore su Sì, viene assegnato il ruolo Amministratore accesso utenti in Controllo degli accessi in base al ruolo di Azure nell'ambito radice (/). In questo modo si ottiene l'autorizzazione ad assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. Questo interruttore è disponibile solo per gli utenti a cui è stato assegnato il ruolo di amministratore globale in Microsoft Entra ID.

   Quando si imposta l'interruttore su No, il ruolo Amministratore Accesso utenti nel controllo degli accessi in base al ruolo Azure viene rimosso dall'account utente. Non è quindi più possibile assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. È possibile visualizzare e gestire solo le sottoscrizioni e i gruppi di gestione di Azure ai quali si ha accesso.

   Nota

   Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.

4. Selezionare Salva per salvare l'impostazione.

   Questa impostazione non è una proprietà globale e si applica solo all'utente attualmente connesso. Non è possibile elevare i privilegi di accesso per tutti i membri del ruolo Amministratore globale.

5. Disconnettersi e accedere nuovamente per aggiornare l'accesso.

   A questo punto dovrebbe essere disponibile l'accesso a tutti i gruppi di gestione e le sottoscrizioni nel tenant. Quando si visualizza la pagina Controllo di accesso (IAM), si noterà che è stato assegnato il ruolo Amministratore Accesso utenti nell'ambito radice.

   

6. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando il portale di Azure. Se si usa Azure AD Privileged Identity Management (PIM), vedere Individuare le risorse di Azure per la gestione in PIM o Assegnare i ruoli delle risorse di Azure in PIM.

7. Per rimuovere l'accesso con privilegi elevati, seguire questa sezione.

Passaggio 2: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti nell'ambito radice (/), seguire questa procedura.

1. Accedere con lo stesso utente usato per elevare i privilegi di accesso.

2. Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).

3. Impostare l'interruttore Gestione degli accessi per le risorse di Azure di nuovo su No. Poiché si tratta di un'impostazione per utente, è necessario essere connessi con lo stesso utente usato per elevare i privilegi di accesso.

   Se si tenta di rimuovere l'assegnazione di ruolo Amministratore accesso utenti nella pagina Controllo di accesso (IAM), verrà visualizzato il messaggio seguente. Per rimuovere l'assegnazione di ruolo, è necessario impostare l'interruttore su No o usare Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

   

4. Disconnettersi come amministratore globale.

   Se si usa Privileged Identity Management, disattivare l'assegnazione di ruolo Amministratore globale.

   Nota

   Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.

PowerShell

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare l'API REST o portale di Azure per elevare l'accesso per un amministratore globale.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

1. Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.

2. Usare il comando Remove-AzRoleAssignment per rimuovere l'assegnazione del ruolo Amministratore Accesso utenti.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Interfaccia della riga di comando di Azure

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare la procedura di base seguente per elevare l'accesso per un amministratore globale usando l'interfaccia della riga di comando di Azure.

1. Usare il comando az rest per chiamare l'endpoint elevateAccess , che concede il ruolo Amministratore accesso utenti nell'ambito radice (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

3. Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

1. Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.

2. Usare il comando az role assignment delete per rimuovere l'assegnazione di ruolo Amministratore accesso utenti.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Prerequisiti

È necessario usare le versioni seguenti:

• 2015-07-01 o versioni successive per elencare e rimuovere le assegnazioni di ruolo
• 2016-07-01 o versione successiva per elevare l'accesso
• 2018-07-01-preview o versioni successive per elencare le assegnazioni di rifiuto

Per altre informazioni, vedere Versioni dell'API REST di Controllo degli accessi in base al ruolo di Azure.

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare la procedura di base seguente per eseguire con privilegi elevati l'accesso per l'amministratore globale usando l'API REST.

1. Usando REST, chiamare elevateAccess, che concede il ruolo Amministratore accesso utenti nell'ambito radice (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

   Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'API REST.

3. Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare le assegnazioni di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di ruolo per un utente nell'ambito radice (/).

• Chiamare assegnazioni di ruolo: elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di ruolo si desidera recuperare.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Passaggio 3: Elencare le assegnazioni di rifiuto nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di rifiuto per un utente nell'ambito radice (/).

• Chiamare Assegnazioni di rifiuto - Elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di rifiuto si desidera recuperare.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Passaggio 4: Rimuovere l'accesso con privilegi elevati

Quando si chiama elevateAccess, si crea un'assegnazione di ruolo per se stessi, quindi per revocare tali privilegi è necessario rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi nell'ambito radice (/).

1. Chiamare definizioni di ruolo: ottenere dove roleName è uguale a Amministratore accesso utenti per determinare l'ID nome del ruolo Amministratore accesso utenti.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Salvare l'ID dal parametro name, in questo caso 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. È anche necessario elencare l'assegnazione di ruolo per l'amministratore tenant nell'ambito del tenant. Elencare tutte le assegnazioni nell'ambito del tenant per principalId dell'amministratore del tenant che ha effettuato la chiamata per l'accesso con privilegi elevati. Sono incluse tutte le assegnazioni nel tenant per il parametro objectId.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Nota

   Un amministratore tenant non deve avere molte assegnazioni. Se la query precedente restituisce troppe assegnazioni, è anche possibile eseguire una query per tutte le assegnazioni solo nell'ambito del tenant, quindi filtrare i risultati: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Le chiamate precedenti restituiscono un elenco di assegnazioni di ruolo. Individuare l'assegnazione di ruolo in cui l'ambito è "/", roleDefinitionId termina con l'ID del nome del ruolo presente nel passaggio 1 e principalId corrisponde a objectId dell'amministratore del tenant.

   Esempio di assegnazione di ruolo:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Anche in questo caso, salvare l'ID dal name parametro , in questo caso 11111111-1111-1111-1111-1111111111111.

4. Usare infine l'ID di assegnazione di ruolo per rimuovere l'assegnazione aggiunta da elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Visualizzare gli utenti con accesso con privilegi elevati

Se si dispone di utenti con accesso con privilegi elevati, i banner vengono visualizzati in due posizioni del portale di Azure. Questa sezione descrive come determinare se si dispone di utenti con accesso con privilegi elevati nel tenant. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.

Opzione 1

1. Nella portale di Azure passare a Microsoft Entra ID>Gestisci>proprietà.

2. In Gestione degli accessi per le risorse di Azure cercare il banner seguente.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati per visualizzare un elenco di utenti con accesso con privilegi elevati.

Opzione 2

1. Nella portale di Azure passare a una sottoscrizione.

2. Seleziona Controllo di accesso (IAM).

3. Nella parte superiore della pagina cercare il banner seguente.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Selezionare il collegamento Visualizza assegnazioni di ruolo per visualizzare un elenco di utenti con accesso con privilegi elevati.

Rimuovere l'accesso con privilegi elevati per gli utenti

Se si dispone di utenti con accesso con privilegi elevati, è necessario intervenire immediatamente e rimuovere tale accesso. Per rimuovere queste assegnazioni di ruolo, è necessario disporre anche di accesso con privilegi elevati. Questa sezione descrive come rimuovere l'accesso con privilegi elevati per gli utenti nel tenant usando il portale di Azure. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.

1. Accedere al portale di Azure come amministratore globale.

2. Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).

3. In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì come descritto in precedenza nel passaggio 1: Elevare l'accesso per un amministratore globale.

4. Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati.

   Viene visualizzato il riquadro Utenti con accesso con privilegi elevati con un elenco di utenti con accesso con privilegi elevati nel tenant.

   

5. Per rimuovere l'accesso con privilegi elevati per gli utenti, aggiungere un segno di spunta accanto all'utente e selezionare Rimuovi.

Visualizzare voci di log di accesso elevate

Quando l'accesso viene elevato o rimosso, viene aggiunta una voce ai log. In qualità di amministratore in Microsoft Entra ID, è possibile controllare quando l'accesso è stato elevato e chi l'ha fatto.

Le voci dei log di accesso elevate vengono visualizzate sia nei log di controllo della directory Microsoft Entra che nei log attività di Azure. Le voci del log di accesso con privilegi elevati per i log di controllo della directory e i log attività includono informazioni simili. Tuttavia, i log di controllo della directory sono più facili da filtrare ed esportare. Inoltre, la funzionalità di esportazione consente di trasmettere gli eventi di accesso, che possono essere usati per le soluzioni di avviso e rilevamento, ad esempio Microsoft Sentinel o altri sistemi. Per informazioni su come inviare log a destinazioni diverse, vedere Configurare le impostazioni di diagnostica di Microsoft Entra per i log attività.

Questa sezione descrive diversi modi in cui è possibile visualizzare le voci di log di accesso elevate.

Log di audit di Microsoft Entra

Importante

Le voci dei log di accesso elevate nei log di controllo della directory Microsoft Entra sono attualmente in anteprima. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.

1. Accedere al portale di Azure come amministratore globale.

2. Passare a Log di controllo di monitoraggio>di Microsoft Entra ID.>

3. Nel filtro Servizio selezionare Controllo degli accessi in base al ruolo di Azure (accesso con privilegi elevati) e quindi selezionare Applica.

   Vengono visualizzati i log di accesso con privilegi elevati.

   

4. Per visualizzare i dettagli quando l'accesso è stato elevato o rimosso, selezionare queste voci del log di controllo.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Per scaricare e visualizzare il payload delle voci di log in formato JSON, selezionare Download e JSON.

   

Log attività di Azure

Visualizzare voci di log di accesso elevate usando il portale di Azure

1. Accedere al portale di Azure come amministratore globale.

2. Passare a Monitoraggio>log attività.

3. Modificare l'elenco attività in Attività directory.

4. Cercare l'operazione seguente, che indica l'azione di accesso con privilegi elevati.

   Assigns the caller to User Access Administrator role

   

Visualizzare voci di log di accesso elevate con l'interfaccia della riga di comando di Azure

1. Usare il comando az login per accedere come amministratore globale.

2. Usare il comando az rest per effettuare la chiamata seguente in cui sarà necessario filtrare in base a una data, come illustrato con il timestamp di esempio e specificare un nome file in cui archiviare i log.

   Chiama url un'API per recuperare i log in Microsoft.Insights. L'output verrà salvato nel file.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Nel file di output cercare elevateAccess.

   Il log sarà simile al seguente, dove è possibile visualizzare il timestamp di quando si è verificata l'azione e chi lo ha chiamato.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegare l'accesso a un gruppo per visualizzare voci di log di accesso elevate tramite l'interfaccia della riga di comando di Azure

Se si vuole essere in grado di ottenere periodicamente le voci di log di accesso elevate, è possibile delegare l'accesso a un gruppo e quindi usare l'interfaccia della riga di comando di Azure.

1. Passare a Gruppi ID>Entra Di Microsoft.

2. Creare un nuovo gruppo di sicurezza e prendere nota dell'ID oggetto gruppo.

3. Usare il comando az login per accedere come amministratore globale.

4. Usare il comando az role assignment create per assegnare il ruolo Lettore al gruppo che può leggere solo i log a livello di tenant, disponibili in Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Aggiungere un utente che leggerà i log al gruppo creato in precedenza.

Un utente nel gruppo può ora eseguire periodicamente il comando az rest per visualizzare le voci del log di accesso elevate.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Passaggi successivi

• Informazioni sui diversi ruoli
• Assegnare ruoli di Azure usando l'API REST