Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren

Als globale beheerder in Microsoft Entra-id hebt u mogelijk geen toegang tot alle abonnementen en beheergroepen in uw tenant. In dit artikel worden de manieren beschreven waarop u de toegang tot alle abonnementen en beheergroepen kunt uitbreiden.

Notitie

Voor informatie over het weergeven of verwijderen van persoonlijke gegevens raadpleegt u algemene verzoeken van betrokkenen voor de AVG, Azure-verzoeken van betrokkenen voor de AVG of Verzoeken van Betrokkenen van Windows voor de AVG, afhankelijk van uw specifieke gebied en behoeften. Zie de AVG-sectie van het Microsoft Trust Center en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG.

Waarom zou u uw toegang moeten verhogen?

Als u een globale beheerder bent, kan het voorkomen dat u de volgende acties wilt uitvoeren:

• Opnieuw toegang krijgen tot een Azure-abonnement of -beheergroep wanneer een gebruiker geen toegang meer heeft
• Een andere gebruiker of uzelf toegang te verlenen tot een Azure-abonnement of -beheergroep
• Alle Azure-abonnementen of -beheergroepen in een organisatie bekijken
• Een automation-app (zoals een facturerings- of controle-app) toegang geven tot alle Azure-abonnementen of -beheergroepen

Hoe werkt verhoogde toegang?

Microsoft Entra ID en Azure-resources zijn onafhankelijk van elkaar beveiligd. Dit betekent dat Microsoft Entra-roltoewijzingen geen toegang verlenen tot Azure-resources en Azure-roltoewijzingen geen toegang verlenen tot Microsoft Entra ID. Als u echter een globale beheerder bent in Microsoft Entra ID, kunt u uzelf toegang geven tot alle Azure-abonnementen en -beheergroepen in uw tenant. Gebruik deze mogelijkheid als u geen toegang hebt tot Azure-abonnementsresources, zoals virtuele machines of opslagaccounts, en u uw globale beheerdersrechten wilt gebruiken om toegang te krijgen tot deze resources.

Wanneer u uw toegang verhoogt, krijgt u de rol Administrator voor gebruikerstoegang in Azure bij het hoofdbereik (/). Hiermee kunt u alle resources weergeven en toegang toewijzen in elk abonnement of beheergroep in de tenant. Toewijzingen van de rol Administrator voor gebruikerstoegang kunnen worden verwijderd met Azure PowerShell, Azure CLI of de REST API.

U moet deze verhoogde toegang verwijderen nadat u de wijzigingen hebt aangebracht voor het hoofdbereik.

Stappen uitvoeren in het hoofdbereik

Azure-portal

Stap 1: Toegang verhogen voor een globale beheerder

Volg deze stappen om de toegang voor een globale beheerder te verhogen met behulp van Azure Portal.

1. Meld u aan bij de Azure Portal als globale beheerder.

   Als u Microsoft Entra Privileged Identity Management gebruikt, activeert u de roltoewijzing globale beheerder.

2. Blader naar Microsoft Entra ID>Manage>Properties.

   

3. Stel onder Toegangsbeheer voor Azure-resources de wisselknop in op Ja.

   

   Wanneer u de wisselknop instelt op Ja, wordt de rol Administrator voor gebruikerstoegang in Azure RBAC toegewezen aan het hoofdbereik (/). Hiermee verleent u toestemming om rollen toe te wijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-tenant. Deze wisselknop is alleen beschikbaar voor gebruikers aan wie de rol Globale beheerder is toegewezen in Microsoft Entra-id.

   Wanneer u de wisselknop instelt op Nee, wordt de rol Gebruikerstoegangsbeheerder in Azure RBAC verwijderd uit uw gebruikersaccount. U kunt geen rollen meer toewijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Microsoft Entra-tenant. U kunt alleen de Azure-abonnementen en -beheergroepen waartoe u toegang hebt gekregen bekijken en beheren.

   Notitie

   Als u Privileged Identity Management gebruikt, verandert het uitschakelen van uw roltoewijzing niet in Nee van het toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

4. Selecteer Opslaan om uw instelling op te slaan.

   Deze instelling is geen globale eigenschap en is alleen van toepassing op de momenteel aangemelde gebruiker. U kunt de toegang voor alle leden van de rol Globale beheerder niet verhogen.

5. Meld u af en weer aan om uw toegang te vernieuwen.

   U hebt nu toegang tot alle abonnementen en beheergroepen in uw tenant. Wanneer u de pagina Toegangsbeheer (IAM) bekijkt, ziet u dat u de rol User Access Administrator bij het hoofdbereik hebt gekregen.

   

6. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

   Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van rollen. Als u Privileged Identity Management gebruikt, raadpleegt u Ontdek Azure-resources om Azure-resourcerollen te beheren of toe te wijzen.

7. Voer de stappen in de volgende sectie uit om uw verhoogde toegang te verwijderen.

Stap 2: verhoogde toegang verwijderen

Voer de volgende stappen uit om de roltoewijzing Gebruikerstoegangsbeheerder bij het hoofdbereik (/) te verwijderen.

1. Meld u aan als dezelfde gebruiker die is gebruikt om de toegang te verhogen.

2. Blader naar Microsoft Entra ID>Manage>Properties.

3. Stel het toegangsbeheer voor Azure-resources in op Nee. Omdat dit een instelling per gebruiker is, moet u zijn aangemeld als dezelfde gebruiker als die is gebruikt om de toegang te verhogen.

   Als u de roltoewijzing Gebruikerstoegangsbeheerder probeert te verwijderen op de pagina Toegangsbeheer (IAM), ziet u het volgende bericht. Als u de roltoewijzing wilt verwijderen, moet u de wisselknop terugzetten op Nee of Azure PowerShell, Azure CLI of de REST API gebruiken.

   

4. Meld u af als globale beheerder.

   Als u Privileged Identity Management gebruikt, moet u de roltoewijzing globale beheerder deactiveren.

   Notitie

   Als u Privileged Identity Management gebruikt, verandert het uitschakelen van uw roltoewijzing niet in Nee van het toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

PowerShell

Stap 1: Toegang verhogen voor een globale beheerder

Gebruik de Azure-portal of REST API om de toegang voor een globale beheerder te verhogen.

Stap 2: Roltoewijzing vermelden bij hoofdbereik (/)

Zodra u verhoogde toegang hebt, gebruikt u de opdracht Get-AzRoleAssignment om de roltoewijzing Gebruikerstoegangsbeheerder weer te geven voor een gebruiker in het hoofdbereik (/).

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Stap 3: Verhoogde toegang verwijderen

Voer de volgende stappen uit om de roltoewijzing Gebruikerstoegangsbeheerder voor uzelf of een andere gebruiker in het hoofdbereik (/) te verwijderen.

1. Meld u aan als een gebruiker die verhoogde toegang kan verwijderen. Dit kan dezelfde gebruiker zijn die is gebruikt voor het verhogen van toegang of een andere globale beheerder met verhoogde toegang tot het hoofdbereik.

2. Gebruik de opdracht Remove-AzRoleAssignment om de roltoewijzing User Access Administrator te verwijderen.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure-CLI

Stap 1: Toegang verhogen voor een globale beheerder

Gebruik de volgende basisstappen om de toegang voor een globale beheerder te verhogen met behulp van de Azure CLI.

1. Gebruik de az rest-opdracht om het elevateAccess eindpunt aan te roepen, waarmee u de rol User Access Administrator bij het hoofdbereik (/) krijgt.

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

   Zie Azure-rollen toewijzen met behulp van de Azure CLI voor meer informatie over het toewijzen van rollen.

3. Voer de stappen in een latere sectie uit om uw verhoogde toegang te verwijderen.

Stap 2: Roltoewijzing vermelden bij hoofdbereik (/)

Zodra u verhoogde toegang hebt, gebruikt u de opdracht az role assignment assignment to az role assignment list om de rolToewijzingsbeheerder voor gebruikerstoegang weer te geven voor een gebruiker in het hoofdbereik (/).

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Stap 3: Verhoogde toegang verwijderen

Voer de volgende stappen uit om de roltoewijzing Gebruikerstoegangsbeheerder voor uzelf of een andere gebruiker in het hoofdbereik (/) te verwijderen.

1. Meld u aan als een gebruiker die verhoogde toegang kan verwijderen. Dit kan dezelfde gebruiker zijn die is gebruikt voor het verhogen van toegang of een andere globale beheerder met verhoogde toegang tot het hoofdbereik.

2. Gebruik de opdracht az role assignment delete om de roltoewijzing Gebruikerstoegangsbeheerder te verwijderen.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Vereisten

U moet de volgende versies gebruiken:

• 2015-07-01 of hoger om roltoewijzingen weer te geven en te verwijderen
• 2016-07-01 of hoger om de toegang te verhogen
• 2018-07-01-preview of later om weigeringstoewijzingen weer te geven

Zie API-versies van Azure RBAC REST API's voor meer informatie.

Stap 1: Toegang verhogen voor een globale beheerder

Gebruik de volgende basisstappen om de toegang voor een globale beheerder te verhogen met behulp van de REST API.

1. Gebruik REST, aanroep elevateAccess, waarmee u de rol Gebruikerstoegangsbeheerder bij het hoofdbereik (/) verleent.

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

   Zie Azure-rollen toewijzen met behulp van de REST API voor meer informatie over het toewijzen van rollen.

3. Voer de stappen in een latere sectie uit om uw verhoogde toegang te verwijderen.

Stap 2: Roltoewijzingen vermelden in het hoofdbereik (/)

Zodra u verhoogde toegang hebt, kunt u alle roltoewijzingen voor een gebruiker in het hoofdbereik (/) weergeven.

• Roltoewijzingen aanroepen : lijst voor bereik , waarbij {objectIdOfUser} de object-id van de gebruiker is waarvan u de roltoewijzingen wilt ophalen.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Stap 3: toewijzingen voor weigeren vermelden in het hoofdbereik (/)

Zodra u verhoogde toegang hebt, kunt u alle weigeringstoewijzingen voor een gebruiker in het hoofdbereik (/) weergeven.

• Toewijzingen weigeren aanroepen - Lijst voor bereik , waarbij {objectIdOfUser} de object-id van de gebruiker is waarvan u de weigeringstoewijzingen wilt ophalen.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Stap 4: Verhoogde toegang verwijderen

Wanneer u aanroept elevateAccess, maakt u een roltoewijzing voor uzelf, dus als u deze bevoegdheden wilt intrekken, moet u de roltoewijzing Van gebruikerstoegangsbeheerder voor uzelf verwijderen in het hoofdbereik (/).

1. Roldefinities aanroepen : haal op waar roleName de beheerder van gebruikerstoegang gelijk is aan de naam-id van de rol Administrator voor gebruikerstoegang.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Sla de id op uit de name parameter, in dit geval 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. U moet ook de roltoewijzing voor de tenantbeheerder op tenantbereik weergeven. Geef alle toewijzingen op tenantbereik weer voor de principalId tenantbeheerder die de aanroep voor toegang heeft verheven. Hiermee worden alle toewijzingen in de tenant voor de object-id weergegeven.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Notitie

   Een tenantbeheerder mag niet veel toewijzingen hebben. Als de vorige query te veel toewijzingen retourneert, kunt u ook query's uitvoeren op alle toewijzingen op tenantbereik en vervolgens de resultaten filteren: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. De vorige aanroepen retourneren een lijst met roltoewijzingen. Zoek de roltoewijzing waar het bereik zich bevindt "/" en eindigt roleDefinitionId met de rolnaam-id die u in stap 1 hebt gevonden en principalId komt overeen met de object-id van de tenantbeheerder.

   Voorbeeld van roltoewijzing:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Sla de id opnieuw op uit de name parameter, in dit geval 11111111-1111-1111-11111-111111111.

4. Gebruik ten slotte de roltoewijzings-id om de toewijzing te verwijderen die is toegevoegd door elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Gebruikers met verhoogde toegang weergeven

Als u gebruikers met verhoogde toegang hebt, worden banners weergegeven op een aantal locaties van Azure Portal. In deze sectie wordt beschreven hoe u kunt bepalen of u gebruikers hebt met verhoogde toegang in uw tenant. Deze mogelijkheid wordt in fasen geïmplementeerd, dus deze is mogelijk nog niet beschikbaar in uw tenant.

Optie 1

1. Blader in Azure Portal naar Microsoft Entra ID>Manage>Properties.

2. Zoek onder Toegangsbeheer voor Azure-resources naar de volgende banner.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Selecteer de koppeling Gebruikers met verhoogde toegang beheren om een lijst met gebruikers met verhoogde toegang weer te geven.

Optie 2

1. Blader in Azure Portal naar een abonnement.

2. Klik op Toegangsbeheer (IAM) .

3. Zoek boven aan de pagina naar de volgende banner.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Selecteer de koppeling Roltoewijzingen weergeven om een lijst met gebruikers met verhoogde toegang weer te geven.

Verhoogde toegang voor gebruikers verwijderen

Als u gebruikers met verhoogde toegang hebt, moet u onmiddellijk actie ondernemen en die toegang verwijderen. Als u deze roltoewijzingen wilt verwijderen, moet u ook verhoogde toegang hebben. In deze sectie wordt beschreven hoe u verhoogde toegang voor gebruikers in uw tenant verwijdert met behulp van Azure Portal. Deze mogelijkheid wordt in fasen geïmplementeerd, dus deze is mogelijk nog niet beschikbaar in uw tenant.

1. Meld u aan bij de Azure Portal als globale beheerder.

2. Blader naar Microsoft Entra ID>Manage>Properties.

3. Stel onder Toegangsbeheer voor Azure-resources de wisselknop in op Ja , zoals eerder beschreven in stap 1: Toegang verhogen voor een globale beheerder.

4. Selecteer de koppeling Gebruikers met verhoogde toegang beheren .

   Het deelvenster Gebruikers met verhoogde toegang wordt weergegeven met een lijst met gebruikers met verhoogde toegang in uw tenant.

   

5. Als u verhoogde toegang voor gebruikers wilt verwijderen, voegt u een vinkje toe naast de gebruiker en selecteert u Verwijderen.

Vermeldingen van toegangslogboeken uitbreiden in de logboeken van directoryactiviteit

Wanneer de toegang is verhoogd, wordt een vermelding toegevoegd aan de logboeken. Als globale beheerder in Microsoft Entra-id wilt u mogelijk controleren wanneer de toegang is verhoogd en wie dit heeft gedaan. Vermeldingen voor toegangslogboeken verhogen worden niet weergegeven in de standaardactiviteitenlogboeken, maar worden in plaats daarvan weergegeven in de logboeken voor adreslijstactiviteiten. In deze sectie worden verschillende manieren beschreven waarop u de vermeldingen in het toegangslogboek kunt bekijken.

Vermeldingen in toegangslogboeken uitbreiden met behulp van De Azure-portal

1. Meld u aan bij de Azure Portal als globale beheerder.

2. Blader naar activiteitenlogboek bewaken>.

3. Wijzig de lijst Met activiteiten in Directory-activiteit.

4. Zoek naar de volgende bewerking, waarmee de toegangsactie wordt geëxtificeerd.

   Assigns the caller to User Access Administrator role

   

Vermeldingen in toegangslogboeken uitbreiden met behulp van Azure CLI

1. Gebruik de opdracht az login om u aan te melden als globale beheerder.

2. Gebruik de az rest-opdracht om de volgende aanroep uit te voeren, waarbij u moet filteren op een datum, zoals wordt weergegeven met het voorbeeld van een tijdstempel en een bestandsnaam opgeven waarin u de logboeken wilt opslaan.

   Hiermee url wordt een API aangeroepen om de logboeken op te halen in Microsoft.Insights. De uitvoer wordt opgeslagen in uw bestand.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. Zoek in het uitvoerbestand naar elevateAccess.

   Het logboek ziet er ongeveer als volgt uit waar u de tijdstempel kunt zien van wanneer de actie heeft plaatsgevonden en wie de actie heeft aangeroepen.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Toegang tot een groep delegeren om vermeldingen in toegangslogboeken te verhogen met behulp van Azure CLI

Als u periodiek toegangslogboekvermeldingen wilt kunnen ophalen, kunt u de toegang tot een groep delegeren en vervolgens Azure CLI gebruiken.

1. Blader naar Microsoft Entra-id-groepen>.

2. Maak een nieuwe beveiligingsgroep en noteer de groepsobject-id.

3. Gebruik de opdracht az login om u aan te melden als globale beheerder.

4. Gebruik de opdracht az role assignment create om de rol Lezer toe te wijzen aan de groep die alleen logboeken kan lezen op tenantniveau, die te vinden zijn op Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Voeg een gebruiker toe die logboeken leest aan de eerder gemaakte groep.

Een gebruiker in de groep kan nu periodiek de az rest-opdracht uitvoeren om vermeldingen in het toegangslogboek weer te geven.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Volgende stappen

• Inzicht in de verschillende rollen
• Azure-rollen toewijzen met behulp van de REST API