Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania

Jako administrator globalny w usłudze Microsoft Entra ID możesz nie mieć dostępu do wszystkich subskrypcji i grup zarządzania w swojej dzierżawie. W tym artykule opisano sposoby podniesienia poziomu dostępu do wszystkich subskrypcji i grup zarządzania.

Uwaga

Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zobacz Ogólne żądania podmiotów danych dotyczące RODO, żądań podmiotów danych platformy Azure dotyczących RODO lub Żądań podmiotów danych systemu Windows dotyczących RODO, w zależności od konkretnego obszaru i potrzeb. Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usług.

W jakich sytuacjach możesz potrzebować podniesienia poziomu uprawnień dostępu?

Jeśli jesteś administratorem globalnym, może wystąpić czas, kiedy chcesz wykonać następujące czynności:

• Odzyskiwanie dostępu do subskrypcji platformy Azure lub grupy zarządzania, gdy użytkownik utracił dostęp
• Przyznać innemu użytkownikowi lub sobie samemu dostęp do subskrypcji platformy Azure lub grupy zarządzania
• Wyświetlić wszystkie subskrypcje lub grupy zarządzania platformy Azure w organizacji
• Zezwolić aplikacji automatyzacji (takiej jak aplikacja do fakturowania lub inspekcji) na dostęp do wszystkich subskrypcji lub grup zarządzania platformy Azure

Jak działa dostęp z podniesionymi uprawnieniami?

Microsoft Entra ID i zasoby Azure są zabezpieczone niezależnie od siebie. Oznacza to, że przypisania ról Microsoft Entra nie przyznają dostępu do zasobów Azure, a przypisania ról Azure nie zapewniają dostępu do Microsoft Entra ID. Jeśli jednak jesteś administratorem globalnym w Microsoft Entra ID, możesz przypisać sobie dostęp do wszystkich subskrypcji platformy Azure i grup zarządzania w dzierżawie. Użyj tej funkcji, jeśli nie masz dostępu do zasobów subskrypcji platformy Azure, takich jak maszyny wirtualne lub konta magazynu, i chcesz użyć uprawnień administratora globalnego, aby uzyskać dostęp do tych zasobów.

Po podniesieniu swoich uprawnień przypisana zostanie rola Administrator dostępu użytkownika na platformie Azure w zakresie głównym (/). Dzięki temu można wyświetlać wszystkie zasoby i przypisywać dostęp w dowolnej subskrypcji lub grupie zarządzania w dzierżawie. Przypisania ról administratora dostępu użytkowników można usunąć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Po wprowadzeniu zmian, które należało wprowadzić w zakresie katalogu głównego, ten podwyższony poziom dostępu należy usunąć.

Wykonaj kroki w głównym zakresie

Portal Azure

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Wykonaj następujące kroki, aby podwyższyć poziom dostępu administratora globalnego przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

   Jeśli używasz usługi Microsoft Entra Privileged Identity Management, aktywuj przypisanie roli administratora globalnego.

2. Przejdź do Microsoft Entra ID>Zarządzaj>Właściwości.

   

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik na wartość Tak.

   

   Po ustawieniu przełącznika na Tak, zostaje przypisana rola Administratora dostępu użytkownika w Azure RBAC w zakresie głównym (/). Daje to uprawnienie do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tym dzierżawcą Microsoft Entra. Ten przełącznik jest dostępny tylko dla użytkowników, którzy mają przypisaną rolę administratora globalnego w usłudze Tożsamość Microsoft Entra.

   Po ustawieniu przełącznika na Nie rola Administratora Dostępu Użytkowników w Azure RBAC zostanie usunięta z Twojego konta. Nie możesz już przypisywać ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tą dzierżawą Microsoft Entra. Można wyłącznie wyświetlać subskrypcje platformy Azure i grupy zarządzania oraz zarządzać nimi, gdy otrzymano do nich dostęp.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

4. Wybierz pozycję Zapisz, aby zapisać ustawienie.

   To ustawienie nie jest właściwością globalną i ma zastosowanie tylko do aktualnie zalogowanego użytkownika. Nie można podnieść poziomu dostępu dla wszystkich członków roli administratora globalnego.

5. Wyloguj się i zaloguj ponownie, aby odświeżyć dostęp.

   Teraz powinieneś mieć dostęp do wszystkich subskrypcji i grup zarządzania w swojej dzierżawie. Po wyświetleniu strony Kontrola dostępu (IAM) zauważysz, że masz przypisaną rolę Administratora dostępu użytkownika w zakresie głównym.

   

6. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, patrz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal. Jeśli używasz usługi Privileged Identity Management, patrz Odnajdywanie zasobów platformy Azure, którymi chcesz zarządzać lub Przypisywanie ról zasobów platformy Azure.

7. Wykonaj kroki opisane w poniższej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkownika w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

2. Przejdź do Microsoft Entra ID>Zarządzaj>Właściwości.

3. Ustaw przełącznik Zarządzanie dostępem dla zasobów platformy Azure z powrotem na Nie. Ponieważ jest to ustawienie dla poszczególnych użytkowników, musisz zalogować się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

   Jeśli spróbujesz usunąć przypisanie roli Administrator dostępu użytkowników na stronie Kontrola dostępu (IAM), zostanie wyświetlony następujący komunikat. Aby usunąć przypisanie roli, należy ustawić przełącznik z powrotem na Nie lub użyć Azure PowerShell, Azure CLI lub interfejsu API REST.

   

4. Wyloguj się jako administrator globalny.

   Jeśli używasz usługi Privileged Identity Management, zdezaktywuj przypisanie roli administratora globalnego.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

PowerShell

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Użyj witryny Azure Portal lub interfejsu API REST, aby podwyższyć poziom dostępu administratora globalnego.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Po uzyskaniu podwyższonego dostępu, aby wyświetlić przypisanie roli administratora dostępu dla użytkownika w zakresie głównym (/), użyj polecenia Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administratora dostępu użytkownika dla siebie lub innego użytkownika w zakresie root (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem uprawnień dostępu w zakresie głównym.

2. Użyj polecenia Remove-AzRoleAssignment, aby usunąć przypisanie roli Administrator dostępu użytkowników.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Interfejs wiersza polecenia platformy Azure

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu wiersza polecenia platformy Azure, wykonaj następujące podstawowe kroki.

1. Użyj polecenia az rest, aby wywołać elevateAccess punkt końcowy, który przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Gdy masz podwyższony poziom dostępu, użyj polecenia az role assignment list, aby wyświetlić listę przypisań ról Administratora Dostępu Użytkownika dla użytkownika w zakresie głównym (/).

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administratora dostępu użytkownika dla siebie lub innego użytkownika w zakresie root (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem uprawnień dostępu w zakresie głównym.

2. Użyj polecenia „az role assignment delete”, aby usunąć przypisanie roli Administrator dostępu do użytkowników.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

Interfejs API REST

Wymagania wstępne

Należy użyć następujących wersji:

• 2015-07-01 lub nowsze, aby wyświetlić listę i usunąć przypisania ról
• 2016-07-01 lub nowszy w celu zwiększenia poziomu dostępu
• 2018-07-01-preview lub nowsze, aby wyświetlić listę przypisań odmowy

Więcej informacji można znaleźć w Wersjach interfejsów API REST RBAC platformy Azure.

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu API REST, wykonaj następujące podstawowe kroki.

1. Za pomocą interfejsu REST wywołaj metodę elevateAccess, która przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu API REST.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Po podwyższeniu poziomu dostępu można wyświetlić listę wszystkich przypisań ról dla użytkownika w zakresie głównym (/).

• Wywołaj Przypisania Ról — Lista dla Zakresu, gdzie {objectIdOfUser} jest identyfikatorem obiektu użytkownika, którego przypisania ról chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Krok 3. Wyświetlanie listy przypisań odmowy w zakresie głównym (/)

Po uzyskaniu wyższego poziomu dostępu można zobaczyć wszystkie przypisania odmowy dla użytkownika na poziomie głównym (/).

• Wywołaj przypisania odmowy – lista dla określonego zakresu, gdzie {objectIdOfUser} jest identyfikatorem obiektu użytkownika, którego przypisania odmowy chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Krok 4. Usuwanie podwyższonego poziomu dostępu

Po wywołaniu elevateAccess tworzysz przypisanie roli dla siebie, więc aby odwołać te uprawnienia, musisz usunąć przypisanie roli Administratora dostępu użytkownika dla siebie w zakresie głównym (/).

1. Wywołaj definicje ról - Pobierz, gdzie roleName jest równy Administratorowi Dostępu Użytkownika, aby określić identyfikator nazwy roli Administratora Dostępu Użytkownika.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Zapisz identyfikator z parametru name , w tym przypadku 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Należy również przygotować listę przypisań ról dla administratora dzierżawy w zakresie dzierżawy. Wyświetl listę wszystkich przypisań w zakresie dzierżawy dla principalId administratora dzierżawy, który wykonał żądanie podwyższenia poziomu dostępu. Spowoduje to wyświetlenie listy wszystkich przypisań w dzierżawie dla identyfikatora objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Uwaga

   Administrator dzierżawy nie powinien mieć wielu zadań. Jeśli poprzednie zapytanie zwróciło zbyt wiele przypisań, możesz również wykonać zapytanie obejmujące wszystkie przypisania w zakresie dzierżawy, a następnie przefiltrować wyniki: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Poprzednie wywołania zwracają listę przypisań ról. Znajdź przypisanie roli, gdzie zakres to "/", a roleDefinitionId kończy się na identyfikator roli znaleziony w kroku 1 i principalId odpowiada identyfikatorowi objectId administratora dzierżawcy.

   Przykładowe przypisanie roli:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Ponownie zapisz identyfikator z parametru name , w tym przypadku 111111111-1111-1111-1111-1111111111111111111.

4. Na koniec użyj identyfikatora przypisania roli, aby usunąć przypisanie dodane przez elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Wyświetlanie użytkowników z podwyższonym poziomem dostępu

Jeśli masz użytkowników z podwyższonym poziomem dostępu i masz odpowiednie uprawnienia, banery są wyświetlane w kilku lokalizacjach witryny Azure Portal. Administratorzy globalni mają uprawnienia do odczytywania przypisań ról w usłudze Azure od poziomu głównego w dół dla wszystkich grup zarządzania usługi Azure i subskrypcji w ramach dzierżawy. Ta sekcja opisuje, jak sprawdzić, czy w twojej dzierżawie znajdują się użytkownicy z podwyższonym poziomem dostępu.

Opcja 1

1. W witrynie Azure Portal zaloguj się jako administrator globalny.

2. Przejdź do Microsoft Entra ID>Zarządzanie>Właściwości.

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure poszukaj następującego baneru.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

4. Wybierz link Zarządzaj użytkownikami z podwyższonym poziomem uprawnień dostępu, aby wyświetlić listę użytkowników z podwyższonym poziomem dostępu.

Opcja 2

1. W witrynie Azure Portal zaloguj się jako administrator globalny z podwyższonym poziomem uprawnień dostępu.

2. Przejdź do subskrypcji.

3. Wybierz pozycję Kontrola dostępu (IAM).

4. W górnej części strony poszukaj następującego baneru.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

5. Wybierz link Wyświetl przypisania ról, aby wyświetlić listę użytkowników z podwyższonym poziomem dostępu.

Usuwanie podwyższonego poziomu dostępu dla użytkowników

Jeśli masz użytkowników z podwyższonym poziomem dostępu, należy podjąć natychmiastowe działania i usunąć ten dostęp. Aby usunąć te przypisania ról, musisz również mieć podwyższony poziom dostępu. W tej sekcji opisano, jak usunąć podwyższony poziom dostępu dla użytkowników w Twojej dzierżawie przy użyciu portalu Azure. Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w twoim środowisku.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do Microsoft Entra ID>Zarządzanie>Właściwości.

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik Tak zgodnie z opisem we wcześniejszej sekcji Krok 1: Podnoszenie poziomu dostępu dla administratora globalnego.

4. Wybierz link Zarządzaj użytkownikami z podwyższonym poziomem uprawnień dostępu.

   Zostanie wyświetlone okienko Użytkownicy z podwyższonym poziomem dostępu, które zawiera listę użytkowników z podwyższonym poziomem dostępu w dzierżawie.

   

5. Aby usunąć dostęp z podwyższonym poziomem uprawnień dla użytkowników, dodaj znacznik wyboru obok użytkownika i wybierz pozycję Usuń.

Wyświetlanie wpisów dziennika z podwyższonym poziomem uprawnień dostępu

Po podwyższeniu lub usunięciu dostępu do dzienników zostanie dodany wpis. Jako administrator w usłudze Microsoft Entra ID możesz sprawdzić, kiedy dostęp został podwyższony i kto to zrobił.

Podstawowe wpisy dziennika dostępu pojawiają się zarówno w dziennikach inspekcji katalogu Microsoft Entra, jak i w dziennikach aktywności Azure. Wpisy podwyższonych dzienników dostępu dla dzienników audytu katalogu i dzienników aktywności zawierają podobne informacje. Dzienniki inspekcji katalogu są jednak łatwiejsze do filtrowania i eksportowania. Ponadto funkcja eksportowania umożliwia strumieniowanie zdarzeń dostępu, które mogą zostać wykorzystane dla rozwiązań alertów i wykrywania, takich jak Microsoft Sentinel lub inne systemy. Aby uzyskać informacje o sposobie wysyłania dzienników do różnych miejsc docelowych, zobacz Konfigurowanie ustawień diagnostycznych usługi Microsoft Entra dla dzienników aktywności.

W tej sekcji opisano różne sposoby wyświetlania wpisów dziennika podwyższonego poziomu dostępu.

Dzienniki inspekcji firmy Microsoft Entra

Ważne

Podnoszenie poziomu wpisów dziennika dostępu w dziennikach inspekcji katalogu entra firmy Microsoft jest obecnie w wersji zapoznawczej. Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do Microsoft Entra ID>Monitorowanie>Dzienniki inspekcji.

3. W filtrze Usługa wybierz pozycję Azure RBAC (podwyższony poziom dostępu), a następnie wybierz pozycję Zastosuj.

   Wyświetlane są dzienniki dostępu o podwyższonym poziomie.

   

4. Aby wyświetlić szczegóły dotyczące podniesienia lub usunięcia dostępu, wybierz te wpisy dziennika inspekcji.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Aby pobrać i wyświetlić ładunek wpisów dziennika w formacie JSON, wybierz pozycję Pobierz i JSON.

   

Dzienniki aktywności platformy Azure

Wyświetlanie wpisów dziennika z podwyższonym poziomem dostępu przy użyciu witryny Azure Portal

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do Monitor>Dziennik aktywności.

3. Zmień listę Aktywność na Aktywność katalogu.

4. Wyszukaj następującą operację, która oznacza akcję podniesienia poziomu dostępu.

   Assigns the caller to User Access Administrator role

   

Wyświetlanie wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

1. Użyj polecenia az login, aby zalogować się jako administrator globalny.

2. Użyj polecenia az rest, aby wykonać następujące wywołanie, w którym trzeba będzie filtrować według daty, jak pokazano na przykładowym znaczniku czasu i określić nazwę pliku, w którym mają być przechowywane dzienniki.

   url wywołuje API w celu pobrania dzienników w usłudze Microsoft.Insights. Dane wyjściowe zostaną zapisane w pliku.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. W pliku wyjściowym wyszukaj ciąg elevateAccess.

   Dziennik będzie wyglądał podobnie do poniższego, gdzie można sprawdzić znacznik czasu, kiedy akcja miała miejsce, i kto ją wywołał.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegowanie dostępu do grupy w celu wyświetlenia wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

Jeśli chcesz mieć możliwość okresowego pobierania logów dostępu z podwyższonymi uprawnieniami, możesz delegować dostęp do grupy i następnie użyć Azure CLI.

1. Przejdź do Microsoft Entra ID>Grupy.

2. Utwórz nową grupę zabezpieczeń i zanotuj identyfikator obiektu grupy.

3. Użyj polecenia az login, aby zalogować się jako administrator globalny.

4. Użyj polecenia az role assignment create, aby przypisać rolę Czytelnika do grupy, która może odczytywać tylko dzienniki z poziomu dzierżawy, które znajdują się na Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Dodaj użytkownika, który odczytuje dzienniki do wcześniej utworzonej grupy.

Użytkownik w grupie może teraz okresowo uruchamiać polecenie az rest , aby wyświetlić wpisy dziennika z podwyższonym poziomem dostępu.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Wykrywanie zdarzeń z podwyższonym poziomem dostępu przy użyciu usługi Microsoft Sentinel

Aby wykryć zdarzenia z podwyższonym poziomem dostępu i uzyskać wgląd w potencjalnie fałszywe działania, możesz użyć usługi Microsoft Sentinel. Microsoft Sentinel to platforma do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), która zapewnia funkcje analizy zabezpieczeń i reagowania na zagrożenia. W tej sekcji opisano sposób łączenia dzienników inspekcji firmy Microsoft Entra z usługą Microsoft Sentinel w celu wykrywania podwyższonego poziomu dostępu w organizacji.

Krok 1. Włączanie usługi Microsoft Sentinel

Aby rozpocząć, dodaj usługę Microsoft Sentinel do istniejącego obszaru roboczego usługi Log Analytics lub utwórz nowy.

• Włącz usługę Microsoft Sentinel, wykonując kroki opisane w temacie Włączanie usługi Microsoft Sentinel.

  

Krok 2. Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel

W tym kroku zainstalujesz rozwiązanie Microsoft Entra ID i użyjesz łącznika Microsoft Entra ID do zbierania danych z identyfikatora Entra firmy Microsoft.

Twoja organizacja mogła już skonfigurować ustawienie diagnostyczne w celu zintegrowania dzienników inspekcji firmy Microsoft Entra. Aby to sprawdzić, wyświetl ustawienia diagnostyczne zgodnie z opisem w temacie Jak uzyskać dostęp do ustawień diagnostycznych.

1. Zainstaluj rozwiązanie Microsoft Entra ID, wykonując kroki opisane w temacie Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

   

2. Użyj łącznika Microsoft Entra ID, aby zebrać dane z identyfikatora Entra firmy Microsoft, wykonując kroki opisane w temacie Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel.

3. Na stronie Łączniki danych dodaj znacznik wyboru dla dzienników inspekcji.

   

Krok 3. Tworzenie reguły podwyższonego poziomu dostępu

W tym kroku utworzysz zaplanowaną regułę analityczną na podstawie szablonu, aby sprawdzić dzienniki inspekcji Microsoft Entra pod kątem zdarzeń zwiększenia uprawnień dostępu.

1. Utwórz regułę analizy dostępu z podwyższonym poziomem uprawnień, wykonując kroki opisane w temacie Tworzenie reguły na podstawie szablonu.

2. Wybierz szablon RBAC platformy Azure (Podwyższony poziom dostępu), a następnie wybierz przycisk Utwórz regułę w okienku szczegółów.

   Jeśli nie widzisz okienka szczegółów, na prawej krawędzi wybierz ikonę rozwijania.

   

3. W kreatorze reguły analizy użyj ustawień domyślnych, aby utworzyć nową zaplanowaną regułę.

   

Krok 4. Wyświetlanie zdarzeń z podwyższonym poziomem dostępu

W tym kroku wyświetlisz i zbadasz zdarzenia z podwyższonym poziomem dostępu.

• Użyj strony Incydenty, aby wyświetlić zdarzenia z podwyższonym poziomem dostępu, wykonując kroki opisane w temacie Nawigowanie i badanie incydentów w usłudze Microsoft Sentinel.

  

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról Azure za pomocą REST API