Podnoszenie poziomu dostępu w celu zarządzania wszystkimi subskrypcjami platformy Azure i grupami zarządzania

Administrator globalny w usłudze Microsoft Entra ID może nie mieć dostępu do wszystkich subskrypcji i grup zarządzania w dzierżawie. W tym artykule opisano sposoby podniesienia poziomu dostępu do wszystkich subskrypcji i grup zarządzania.

Uwaga

Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zobacz Ogólne żądania podmiotów danych dotyczące RODO, żądań podmiotów danych platformy Azure dotyczących RODO lub Żądań podmiotów danych systemu Windows dotyczących RODO, w zależności od konkretnego obszaru i potrzeb. Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usług.

W jakich sytuacjach możesz potrzebować podniesienia poziomu uprawnień dostępu?

Jeśli jesteś administratorem globalnym, może wystąpić czas, kiedy chcesz wykonać następujące czynności:

• Odzyskiwanie dostępu do subskrypcji platformy Azure lub grupy zarządzania, gdy użytkownik utracił dostęp
• Przyznać innemu użytkownikowi lub sobie samemu dostęp do subskrypcji platformy Azure lub grupy zarządzania
• Wyświetlić wszystkie subskrypcje lub grupy zarządzania platformy Azure w organizacji
• Zezwolić aplikacji automatyzacji (takiej jak aplikacja do fakturowania lub inspekcji) na dostęp do wszystkich subskrypcji lub grup zarządzania platformy Azure

Jak działa dostęp z podniesionymi uprawnieniami?

Microsoft Entra ID i zasoby Azure są zabezpieczone niezależnie od siebie. Oznacza to, że przypisania ról Microsoft Entra nie przyznają dostępu do zasobów Azure, a przypisania ról Azure nie przyznają dostępu do identyfikatora Microsoft Entra ID. Jeśli jednak jesteś administratorem globalnym w usłudze Microsoft Entra ID, możesz przypisać sobie dostęp do wszystkich subskrypcji platformy Azure i grup zarządzania w dzierżawie. Użyj tej funkcji, jeśli nie masz dostępu do zasobów subskrypcji platformy Azure, takich jak maszyny wirtualne lub konta magazynu, i chcesz użyć uprawnień administratora globalnego, aby uzyskać dostęp do tych zasobów.

Po podwyższeniu poziomu dostępu zostanie przypisana rola Administrator dostępu użytkowników na platformie Azure w zakresie głównym (/). Dzięki temu można wyświetlać wszystkie zasoby i przypisywać dostęp w dowolnej subskrypcji lub grupie zarządzania w dzierżawie. Przypisania ról administratora dostępu użytkowników można usunąć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Po wprowadzeniu zmian, które należało wprowadzić w zakresie katalogu głównego, ten podwyższony poziom dostępu należy usunąć.

Wykonywanie kroków w zakresie głównym

Witryna Azure Portal

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Wykonaj następujące kroki, aby podwyższyć poziom dostępu administratora globalnego przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

   Jeśli używasz usługi Microsoft Entra Privileged Identity Management, aktywuj przypisanie roli administratora globalnego.

2. Przejdź do witryny Microsoft Entra ID>Zarządzaj właściwościami.>

   

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik na wartość Tak.

   

   Po ustawieniu przełącznika na Wartość Tak zostanie przypisana rola Administrator dostępu użytkowników w kontroli dostępu na podstawie ról na platformie Azure w zakresie głównym (/). Daje to uprawnienie do przypisywania ról we wszystkich subskrypcjach platformy Azure i grupach zarządzania skojarzonych z tą dzierżawą Microsoft Entra. Ten przełącznik jest dostępny tylko dla użytkowników, którzy mają przypisaną rolę administratora globalnego w usłudze Tożsamość Microsoft Entra.

   Po ustawieniu przełącznika na Nie rola administratora dostępu użytkowników w kontroli dostępu na podstawie ról platformy Azure zostanie usunięta z konta użytkownika. Nie będzie można przypisywać ról we wszystkich subskrypcjach platformy Azure ani grupach zarządzania skojarzonych z tą dzierżawą Microsoft Entra. Można wyłącznie wyświetlać subskrypcje platformy Azure i grupy zarządzania oraz zarządzać nimi, gdy otrzymano do nich dostęp.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

4. Wybierz pozycję Zapisz, aby zapisać ustawienie.

   To ustawienie nie jest właściwością globalną i ma zastosowanie tylko do aktualnie zalogowanego użytkownika. Nie można podnieść poziomu dostępu dla wszystkich członków roli administratora globalnego.

5. Wyloguj się i zaloguj ponownie, aby odświeżyć dostęp.

   Teraz masz dostęp do wszystkich subskrypcji i grup zarządzania w swojej dzierżawie. Po wyświetleniu strony Kontrola dostępu (Zarządzanie dostępem i tożsamościami) zauważysz, że masz przypisaną rolę administratora dostępu użytkowników w zakresie katalogu głównego.

   

6. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, patrz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal. Jeśli używasz usługi Privileged Identity Management, patrz Odnajdywanie zasobów platformy Azure, którymi chcesz zarządzać lub Przypisywanie ról zasobów platformy Azure.

7. Wykonaj kroki opisane w poniższej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

2. Przejdź do witryny Microsoft Entra ID>Zarządzaj właściwościami.>

3. Ustaw przełącznik Zarządzanie dostępem dla zasobów platformy Azure z powrotem na Nie. Ponieważ jest to ustawienie dla poszczególnych użytkowników, musisz zalogować się jako ten sam użytkownik, który został użyty do podniesienia poziomu dostępu.

   Jeśli spróbujesz usunąć przypisanie roli Administrator dostępu użytkowników na stronie Kontrola dostępu (IAM), zostanie wyświetlony następujący komunikat. Aby usunąć przypisanie roli, należy ustawić przełącznik z powrotem na Wartość Nie lub użyć programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

   

4. Wyloguj się jako administrator globalny.

   Jeśli używasz usługi Privileged Identity Management, zdezaktywuj przypisanie roli administratora globalnego.

   Uwaga

   Jeśli używasz usługi Privileged Identity Management, dezaktywacja przypisania roli nie powoduje zmiany przełącznika Zarządzanie dostępem dla zasobów platformy Azure na nie. Aby zachować najmniej uprzywilejowany dostęp, zalecamy ustawienie tego przełącznika na Nie przed dezaktywem przypisania roli.

Program PowerShell

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Użyj witryny Azure Portal lub interfejsu API REST, aby podwyższyć poziom dostępu administratora globalnego.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Po podwyższeniu poziomu dostępu, aby wyświetlić listę przypisania roli administratora dostępu użytkowników dla użytkownika w zakresie głównym (/), użyj polecenia Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem uprawnień dostępu w zakresie głównym.

2. Użyj polecenia Remove-AzRoleAssignment, aby usunąć przypisanie roli Administrator dostępu użytkowników.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Interfejs wiersza polecenia platformy Azure

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu wiersza polecenia platformy Azure, wykonaj następujące podstawowe kroki.

1. Użyj polecenia az rest, aby wywołać elevateAccess punkt końcowy, który przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Gdy masz podwyższony poziom dostępu, aby wyświetlić listę przypisań ról administratora dostępu użytkowników dla użytkownika w zakresie głównym (/), użyj polecenia az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Krok 3. Usuwanie podwyższonego poziomu dostępu

Aby usunąć przypisanie roli Administrator dostępu użytkowników dla siebie lub innego użytkownika w zakresie głównym (/), wykonaj następujące kroki.

1. Zaloguj się jako użytkownik, który może usunąć podwyższony poziom dostępu. Może to być ten sam użytkownik, który został użyty do podniesienia poziomu dostępu lub inny administrator globalny z podwyższonym poziomem uprawnień dostępu w zakresie głównym.

2. Użyj polecenia az role assignment delete, aby usunąć przypisanie roli Administrator dostępu użytkowników.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

Interfejs API REST

Wymagania wstępne

Należy użyć następujących wersji:

• 2015-07-01 lub nowsze, aby wyświetlić listę i usunąć przypisania ról
• 2016-07-01 lub nowszy w celu podniesienia poziomu dostępu
• 2018-07-01-preview lub nowsze, aby wyświetlić listę przypisań odmowy

Więcej informacji, zobacz Wersje interfejsów API REST RBAC platformy Azure.

Krok 1. Podniesienie poziomu dostępu administratora globalnego

Aby podwyższyć poziom dostępu administratora globalnego przy użyciu interfejsu API REST, wykonaj następujące podstawowe kroki.

1. Za pomocą interfejsu REST wywołaj metodę elevateAccess, która przyznaje rolę administratora dostępu użytkowników w zakresie głównym (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Wprowadź wymagane zmiany przy podwyższonym poziomie dostępu.

   Aby uzyskać informacje na temat przypisywania ról, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu API REST.

3. Wykonaj kroki opisane w dalszej sekcji, aby usunąć podwyższony poziom dostępu.

Krok 2. Wyświetlanie listy przypisań ról w zakresie głównym (/)

Po podwyższeniu poziomu dostępu można wyświetlić listę wszystkich przypisań ról dla użytkownika w zakresie głównym (/).

• Wywoływanie przypisań ról — lista dla zakresu , w którym {objectIdOfUser} znajduje się identyfikator obiektu użytkownika, którego przypisania ról chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Krok 3. Wyświetlanie listy przypisań odmowy w zakresie głównym (/)

Po podwyższeniu poziomu dostępu można wyświetlić listę wszystkich przypisań odmowy dla użytkownika w zakresie głównym (/).

• Wywołaj przypisania odmowy — lista dla zakresu , w którym {objectIdOfUser} jest identyfikator obiektu użytkownika, którego przypisania odmowy chcesz pobrać.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Krok 4. Usuwanie podwyższonego poziomu dostępu

Po wywołaniu elevateAccessmetody należy utworzyć przypisanie roli dla siebie, aby odwołać te uprawnienia, musisz usunąć przypisanie roli Administratora dostępu użytkowników dla siebie w zakresie głównym (/).

1. Wywoływanie definicji ról — umożliwia określenie , gdzie roleName jest równy administratorowi dostępu użytkowników w celu określenia identyfikatora nazwy roli administrator dostępu użytkowników.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Zapisz identyfikator z parametru name , w tym przypadku 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Należy również wyświetlić listę przypisań ról dla administratora dzierżawy w zakresie dzierżawy. Wyświetl listę wszystkich przypisań w zakresie dzierżawy dla principalId administratora dzierżawy, który wykonał wywołanie podwyższonego poziomu dostępu. Spowoduje to wyświetlenie listy wszystkich przypisań w dzierżawie dla identyfikatora objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Uwaga

   Administrator dzierżawy nie powinien mieć wielu przypisań. Jeśli poprzednie zapytanie zwraca zbyt wiele przypisań, możesz również wykonać zapytanie dotyczące wszystkich przypisań tylko w zakresie dzierżawy, a następnie przefiltrować wyniki: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Poprzednie wywołania zwracają listę przypisań ról. Znajdź przypisanie roli, w którym znajduje "/" się zakres, a roleDefinitionId kończy się identyfikatorem nazwy roli znalezionym w kroku 1 i principalId pasuje do identyfikatora objectId administratora dzierżawy.

   Przykładowe przypisanie roli:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Ponownie zapisz identyfikator z parametru name , w tym przypadku 111111111-1111-1111-1111-1111111111111111111.

4. Na koniec użyj identyfikatora przypisania roli, aby usunąć przypisanie dodane przez elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Wyświetlanie użytkowników z podwyższonym poziomem dostępu

Jeśli masz użytkowników z podwyższonym poziomem dostępu, banery są wyświetlane w kilku lokalizacjach witryny Azure Portal. W tej sekcji opisano sposób określania, czy masz użytkowników, którzy mają podwyższony poziom dostępu w dzierżawie. Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie.

Opcja 1

1. W witrynie Azure Portal przejdź do strony Microsoft Entra ID Manage Properties (Zarządzanie właściwościami usługi Microsoft Entra ID).>>

2. W obszarze Zarządzanie dostępem dla zasobów platformy Azure poszukaj następującego baneru.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Wybierz link Zarządzaj użytkownikami z podwyższonym poziomem uprawnień dostępu, aby wyświetlić listę użytkowników z podwyższonym poziomem dostępu.

Opcja 2

1. W witrynie Azure Portal przejdź do subskrypcji.

2. Wybierz pozycję Kontrola dostępu (IAM).

3. W górnej części strony poszukaj następującego baneru.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Wybierz link Wyświetl przypisania ról, aby wyświetlić listę użytkowników z podwyższonym poziomem dostępu.

Usuwanie podwyższonego poziomu dostępu dla użytkowników

Jeśli masz użytkowników z podwyższonym poziomem dostępu, należy podjąć natychmiastowe działania i usunąć ten dostęp. Aby usunąć te przypisania ról, musisz również mieć podwyższony poziom dostępu. W tej sekcji opisano sposób usuwania podwyższonego poziomu dostępu dla użytkowników w dzierżawie przy użyciu witryny Azure Portal. Ta funkcja jest wdrażana na etapach, więc może nie być jeszcze dostępna w dzierżawie.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do witryny Microsoft Entra ID>Zarządzaj właściwościami.>

3. W obszarze Zarządzanie dostępem dla zasobów platformy Azure ustaw przełącznik Tak zgodnie z opisem we wcześniejszej sekcji Krok 1: Podnoszenie poziomu dostępu dla administratora globalnego.

4. Wybierz link Zarządzaj użytkownikami z podwyższonym poziomem uprawnień dostępu.

   Zostanie wyświetlone okienko Użytkownicy z podwyższonym poziomem dostępu z listą użytkowników z podwyższonym poziomem uprawnień dostępu w dzierżawie.

   

5. Aby usunąć dostęp z podwyższonym poziomem uprawnień dla użytkowników, dodaj znacznik wyboru obok użytkownika i wybierz pozycję Usuń.

Wyświetlanie wpisów dziennika z podwyższonym poziomem uprawnień dostępu

Po podwyższeniu lub usunięciu dostępu do dzienników zostanie dodany wpis. Jako administrator w usłudze Microsoft Entra ID możesz sprawdzić, kiedy dostęp został podwyższony i kto to zrobił.

Podnieś poziom uprawnień wpisy dziennika dostępu są wyświetlane zarówno w dziennikach inspekcji katalogu Firmy Microsoft, jak i w dziennikach aktywności platformy Azure. Wpisy dziennika dostępu z podwyższonym poziomem uprawnień dla dzienników inspekcji katalogu i dzienników aktywności zawierają podobne informacje. Dzienniki inspekcji katalogu są jednak łatwiejsze do filtrowania i eksportowania. Ponadto funkcja eksportowania umożliwia przesyłanie strumieniowe zdarzeń dostępu, które mogą być używane dla rozwiązań alertów i wykrywania, takich jak Usługa Microsoft Sentinel lub inne systemy. Aby uzyskać informacje o sposobie wysyłania dzienników do różnych miejsc docelowych, zobacz Konfigurowanie ustawień diagnostycznych usługi Microsoft Entra dla dzienników aktywności.

W tej sekcji opisano różne sposoby wyświetlania wpisów dziennika podwyższonego poziomu dostępu.

Dzienniki inspekcji firmy Microsoft Entra

Ważne

Podnoszenie poziomu wpisów dziennika dostępu w dziennikach inspekcji katalogu entra firmy Microsoft jest obecnie w wersji zapoznawczej. Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do dzienników inspekcji monitorowania>identyfikatorów entra>firmy Microsoft.

3. W filtrze Usługa wybierz pozycję Azure RBAC (podwyższony poziom dostępu), a następnie wybierz pozycję Zastosuj.

   Wyświetlane są dzienniki dostępu z podwyższonym poziomem uprawnień.

   

4. Aby wyświetlić szczegóły dotyczące podniesienia lub usunięcia dostępu, wybierz te wpisy dziennika inspekcji.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Aby pobrać i wyświetlić ładunek wpisów dziennika w formacie JSON, wybierz pozycję Pobierz i JSON.

   

Dzienniki aktywności platformy Azure

Wyświetlanie wpisów dziennika z podwyższonym poziomem dostępu przy użyciu witryny Azure Portal

1. Zaloguj się w witrynie Azure Portal jako administrator globalny.

2. Przejdź do strony Monitorowanie>dziennika aktywności.

3. Zmień listę Działania na Działanie katalogu.

4. Wyszukaj następującą operację, która oznacza akcję podniesienia poziomu dostępu.

   Assigns the caller to User Access Administrator role

   

Wyświetlanie wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

1. Użyj polecenia az login, aby zalogować się jako administrator globalny.

2. Użyj polecenia az rest, aby wykonać następujące wywołanie, w którym trzeba będzie filtrować według daty, jak pokazano na przykładowym znaczniku czasu i określić nazwę pliku, w którym mają być przechowywane dzienniki.

   Wywołanie url interfejsu API w celu pobrania dzienników w usłudze Microsoft.Insights. Dane wyjściowe zostaną zapisane w pliku.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. W pliku wyjściowym wyszukaj ciąg elevateAccess.

   Dziennik będzie podobny do poniższego, w którym można zobaczyć znacznik czasu wystąpienia akcji i osoby, która ją nazwała.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegowanie dostępu do grupy w celu wyświetlenia wpisów dziennika z podwyższonym poziomem uprawnień dostępu przy użyciu interfejsu wiersza polecenia platformy Azure

Jeśli chcesz mieć możliwość okresowego pobierania wpisów dziennika z podwyższonym poziomem dostępu, możesz delegować dostęp do grupy, a następnie użyć interfejsu wiersza polecenia platformy Azure.

1. Przejdź do pozycji Grupy identyfikatorów> entra firmy Microsoft.

2. Utwórz nową grupę zabezpieczeń i zanotuj identyfikator obiektu grupy.

3. Użyj polecenia az login, aby zalogować się jako administrator globalny.

4. Użyj polecenia az role assignment create, aby przypisać rolę Czytelnik do grupy, która może odczytywać tylko dzienniki na poziomie dzierżawy, które znajdują się na Microsoft/Insightspoziomie .

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Dodaj użytkownika, który odczytuje dzienniki do wcześniej utworzonej grupy.

Użytkownik w grupie może teraz okresowo uruchamiać polecenie az rest , aby wyświetlić wpisy dziennika z podwyższonym poziomem dostępu.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Następne kroki

• Omówienie różnych ról
• Przypisywanie ról platformy Azure przy użyciu interfejs API Rest