Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure

Como um Administrador Global no Microsoft Entra ID, talvez você não tenha acesso a todas as assinaturas e grupos de gerenciamento em seu locatário. Este artigo descreve maneiras de elevar o acesso para todas as assinaturas e grupos de gerenciamento.

Observação

Para obter informações sobre como exibir ou excluir dados pessoais, consulte Solicitações do titular dos dados geral para GDPR, Solicitações do titular de dados do Azure para o GDPRou solicitações do titular de dados do Windows para o GDPR, dependendo de sua área e necessidades específicas. Para obter mais informações sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.

Por que você precisa elevar o acesso?

Se você for um Administrador global, pode desejar em algum momento realizar as seguintes ações:

• Recuperar o acesso a um grupo de gerenciamento ou assinatura do Azure quando um usuário tiver perdido o acesso
• conceder a outro usuário ou a si mesmo acesso a uma assinatura ou grupo de gerenciamento do Azure
• Ver todas as assinaturas ou grupos de gerenciamento do Azure em uma organização
• Permitir o acesso de um aplicativo de automação (como um aplicativo de faturamento ou de auditoria) a todas as assinaturas do Azure ou grupos de gerenciamento

Como funciona o acesso elevado?

O Microsoft Entra ID e os recursos do Azure são protegidos independentemente um do outro. Ou seja, as atribuições de função do Microsoft Entra não concedem acesso aos recursos do Azure e as atribuições de função do Azure não concedem acesso ao Microsoft Entra ID. No entanto, se você for um Administrador Global no Microsoft Entra ID, poderá atribuir a si mesmo acesso a todas as assinaturas e grupos de gerenciamento do Azure em seu locatário. Use esse recurso se você não tiver acesso aos recursos de assinatura do Azure, como máquinas virtuais ou contas de armazenamento, e quiser usar o privilégio de administrador global para obter acesso a esses recursos.

Quando você elevar seu acesso, você receberá a função Administrador de Acesso do Usuário no Azure no escopo raiz (/). Isso permite que você visualize todos os recursos e atribua acesso a qualquer assinatura ou grupo de gerenciamento no locatário. As atribuições da função de Administrador de acesso do usuário podem ser removidas usando o Azure PowerShell, CLI do Azure ou a API REST.

Você deve remover esse acesso elevado depois de fazer as alterações necessárias no escopo raiz.

Executar as etapas no escopo raiz

Azure portal

Etapa 1: elevar o acesso de um Administrador Global

Siga estas etapas para elevar o acesso de um administrador global usando o portal do Azure.

1. Entre no portal do Azure como um Administrador Global.

   Se estiver usando o Microsoft Entra Privileged Identity Management, ative sua atribuição da função Administrador Global.

2. Navegue até Microsoft Entra ID>Gerenciar>Propriedades.

   

3. Em Gerenciamento de acesso para recursos do Azure, defina a alternância como Sim.

   

   Ao definir a alternância para Sim, fica designada a função de Administrador de Acesso do Usuário no Azure RBAC no escopo raiz (/). Isso concede a você permissão para atribuir funções a todas as assinaturas e grupos de gerenciamento do Azure associados a esse locatário do Microsoft Entra. Essa alternância só está disponível para os usuários aos quais foi atribuída a função de Administrador Global no Microsoft Entra ID.

   Quando você define a alternância como Não, a função Administrador de Acesso do Usuário no RBAC do Azure é removida da sua conta de usuário. Você não pode mais atribuir funções a todas as assinaturas e grupos de gerenciamento do Azure associados a esse locatário do Microsoft Entra. Você pode exibir e gerenciar somente as assinaturas do Azure e os grupos de gerenciamento aos quais você recebeu acesso.

   Observação

   Se você estiver usando o Privileged Identity Management, desativar sua atribuição de função não altera a alternância do Gerenciamento de acesso para recursos do Azure para Não. Para manter o acesso privilegiado mínimo, recomendamos que você defina essa alternância para Não antes de desativar sua atribuição de função.

4. Selecione Salvar para salvar sua configuração.

   Essa configuração não é uma propriedade global, aplicando-se somente ao usuário conectado no momento. Você não pode elevar o acesso para todos os membros da função de Administrador Global.

5. Saia e entre novamente para atualizar o seu acesso.

   Agora você deve ter acesso a todas as assinaturas e grupos de gerenciamento em seu locatário. Ao visualizar a página de Controle de acesso (IAM), você notará que recebeu a função de Administrador de Acesso do Usuário no escopo raiz.

   

6. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando o portal do Azure. Se você estiver usando o Privileged Identity Management, consulte Descobrir recursos do Azure para gerenciar ou Atribuir funções de recursos do Azure.

7. Execute as etapas na seção a seguir para remover o acesso elevado.

Etapa 2: remover o acesso elevado

Para remover a atribuição da função Administrador de Acesso do Usuário no escopo raiz (/), siga estas etapas.

1. Entre com o mesmo usuário que foi usado para elevar o acesso.

2. Navegue até Microsoft Entra ID>Gerenciar>Propriedades.

3. Defina a alternância de Gerenciamento de acesso para recursos do Azure para Não. Como essa é uma configuração por usuário, você deve estar conectado como o mesmo usuário que foi usado para elevar o acesso.

   Se você tentar remover a atribuição da função Administrador de Acesso do Usuário na página Controle de acesso (IAM), verá a seguinte mensagem. Para remover a atribuição de função, você deve definir a alternância de volta para Não ou usar Azure PowerShell, CLI do Azure ou a API REST.

   

4. Saia como Administrador global.

   Se você estiver usando Privileged Identity Management, desative sua atribuição de função de Administrador global.

   Observação

   Se você estiver usando o Privileged Identity Management, desativar sua atribuição de função não altera a alternância do Gerenciamento de acesso para recursos do Azure para Não. Para manter o acesso privilegiado mínimo, recomendamos que você defina essa alternância para Não antes de desativar sua atribuição de função.

PowerShell

Etapa 1: elevar o acesso de um Administrador Global

Use o portal do Microsoft Azure ou a API REST para elevar o acesso de um Administrador Global.

Etapa 2: listar a atribuição de função no escopo raiz (/)

Depois de obter acesso elevado, para listar a atribuição da função Administrador de Acesso do Usuário para um usuário no escopo raiz (/), use o comando Get-AzRoleAssignment.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Etapa 3: remover o acesso elevado

Para remover a atribuição de função de Administrador de Acesso do Usuário para você ou outro usuário no escopo raiz (/), siga estas etapas.

1. Entre como um usuário que possa remover o acesso com privilégios elevados. Esse pode ser o mesmo usuário que foi usado para elevar o acesso ou outro Administrador Global com acesso elevado no escopo raiz.

2. Use o comando Remove-AzRoleAssignment para remover a atribuição de função de Administrador de Acesso do Usuário.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

CLI do Azure

Etapa 1: elevar o acesso de um Administrador Global

Use as etapas básicas a seguir para elevar o acesso de um Administrador global usando o CLI do Azure.

1. Use o comando az rest para chamar o elevateAccess ponto de extremidade, que concede a você a função de Administrador de Acesso do Usuário no escopo raiz (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando o CLI do Azure.

3. Execute as etapas em uma seção posterior para remover seu acesso elevado.

Etapa 2: listar a atribuição de função no escopo raiz (/)

Depois de obter acesso elevado, para listar a atribuição da função Administrador de Acesso do Usuário para um usuário no escopo raiz (/), use o comando az role assignment list.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Etapa 3: remover o acesso elevado

Para remover a atribuição de função de Administrador de Acesso do Usuário para você ou outro usuário no escopo raiz (/), siga estas etapas.

1. Entre como um usuário que possa remover o acesso com privilégios elevados. Esse pode ser o mesmo usuário que foi usado para elevar o acesso ou outro Administrador Global com acesso elevado no escopo raiz.

2. Use o comando az role assignment delete para remover a atribuição de função de Administrador de Acesso do Usuário.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Pré-requisitos

Você deve usar as versões a seguir:

• 2015-07-01 ou posterior para listar e remover atribuições de função
• 2016-07-01 ou posterior para elevar o acesso
• 2018-07-01-preview ou posterior para listar atribuições de negação

Para obter mais informações, consulte as Versões da API das APIs REST do RBAC do Azure.

Etapa 1: elevar o acesso de um Administrador Global

Use as etapas básicas a seguir para elevar o acesso de um Administrador global usando a API REST.

1. Usando REST, chame elevateAccess, que concede a você a função de Administrador de Acesso do Usuário no escopo raiz (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando a API REST.

3. Execute as etapas em uma seção posterior para remover seu acesso elevado.

Etapa 2: listar atribuições de função no escopo raiz (/)

Depois de obter acesso elevado, é possível listar todas as atribuições de função de um usuário no escopo raiz (/).

• Chame as Atribuições de Função – Listar para Escopo , em que {objectIdOfUser} é a ID do objeto do usuário cujas atribuições de função você deseja recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Etapa 3: listar atribuições de negação no escopo raiz (/)

Depois de obter acesso elevado, você poderá listar todas as atribuições de negação de um usuário no escopo raiz (/).

• Chame as Atribuições de Negação – Listar para o Escopo em que {objectIdOfUser} é a ID do objeto do usuário cujas atribuições de negação você deseja recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Etapa 4: remover o acesso elevado

Quando você chama elevateAccess, cria uma atribuição de função para si mesmo, para revogar esses privilégios, é necessário remover a atribuição de função de Administrador de Acesso do Usuário para você mesmo no escopo raiz (/).

1. Chame Definições de Função – GET, em que roleName é igual a Administrador de Acesso do Usuário, para determinar a ID do nome da função de Administrador de Acesso do Usuário.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Salve a ID do parâmetro name, nesse caso: 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Também é preciso listar a atribuição de função de administrador de locatário no escopo de locatário. Liste todas as atribuições do escopo de locatário de principalId do administrador de locatário que fez a chamada de elevação de acesso. Isso listará todas as atribuições do objectid no locatário.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Observação

   Um administrador de locatários não deve ter muitas atribuições. Se a consulta anterior retornar muitas atribuições, você também pode consultar todas as atribuições apenas no escopo de locatário e, em seguida, filtrar os resultados: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. As chamadas anteriores retornam uma lista de atribuições de função. Localize a atribuição de função em que o escopo é "/" e o roleDefinitionId termina com a ID do nome da função encontrada na etapa 1 e principalId corresponde à objectId do administrador de locatário.

   Atribuição de função de amostra:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Novamente, salve a ID do name parâmetro, neste caso 11111111-1111-1111-1111-111111111111.

4. Por fim, use a ID da atribuição de função para remover a atribuição adicionada por elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Exibir usuários com acesso elevado

Se você tiver usuários com acesso elevado, as faixas serão exibidas em alguns locais do portal do Azure. Essa seção descreve como determinar se você tem usuários que têm acesso elevado em seu locatário. Essa capacidade está sendo implementada em fases, então pode ainda não estar disponível no seu locatário.

Opção 1

1. No portal do Azure, navegue até Microsoft Entra ID>Gerenciar>Propriedades.

2. Em Gerenciamento de acesso para recursos do Azure, procure a seguinte faixa.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Selecione o link Gerenciar usuários com acesso elevado para exibir uma lista de usuários com acesso elevado.

Opção 2

1. No portal do Azure, navegue até uma assinatura.

2. Selecione IAM (Controle de acesso).

3. Na parte superior da página, procure a faixa a seguir.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Selecione o link Exibir atribuições de função para exibir uma lista de usuários com acesso elevado.

Remover acesso elevado de usuários

Se você tiver usuários com acesso elevado, deve agir imediatamente e remover esse acesso. Para remover essas atribuições de função, você também deve ter acesso elevado. Esta seção descreve como remover o acesso elevado para usuários em seu locatário usando o portal do Azure. Essa capacidade está sendo implementada em fases, então pode ainda não estar disponível no seu locatário.

1. Entre no portal do Azure como um Administrador Global.

2. Navegue até Microsoft Entra ID>Gerenciar>Propriedades.

3. Em Gerenciamento de acesso para recursos do Azure, defina a alternância para Sim conforme descrito anteriormente na Etapa 1: elevar acesso para um Administrador Global.

4. Selecione o link Gerenciar usuários com acesso elevado.

   O painel Usuários com acesso elevado aparece com uma lista de usuários com acesso elevado em seu locatário.

   

5. Para remover o acesso elevado dos usuários, adicione uma marca de seleção ao lado do usuário e selecione Remover.

Exibir entradas de logs de acesso elevado

Quando o acesso é elevado ou removido, uma entrada é adicionada aos logs. Como administrador no Microsoft Entra ID, você pode verificar quem elevou o acesso e quando isso aconteceu.

As entradas de log de acesso elevado aparecem nos logs de auditoria do diretório do Microsoft Entra e nos logs de atividades do Azure. As entradas de log de acesso elevado nos logs de auditoria do diretório e nos logs de atividades registram informações semelhantes. No entanto, você pode filtrar e exportar os logs de auditoria do diretório com mais facilidade. Além disso, a funcionalidade de exportação permite transmitir eventos de acesso para suas soluções de alerta e detecção, como o Microsoft Sentinel ou outros sistemas. Para obter mais informações sobre como enviar logs para diferentes destinos, confira a página Configurar as definições de diagnóstico do Microsoft Entra para logs de atividades.

Esta seção descreve as diferentes maneiras de exibição das entradas do log de acesso elevado.

Log de auditoria do Microsoft Entra

Importante

No momento, as entradas de log de acesso elevado nos logs de auditoria do diretório do Microsoft Entra estão em versão prévia. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

1. Entre no portal do Azure como um Administrador Global.

2. Navegue até Microsoft Entra ID>Monitoramento>Logs de auditoria.

3. No filtro Serviço, selecione RBAC do Azure (Acesso Elevado) e, em seguida, selecione Aplicar.

   Os logs de acesso elevado serão exibidos.

   

4. Selecione essas entradas de log de auditoria para exibir os detalhes de quando o acesso foi elevado ou removido.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Para baixar e visualizar o conteúdo das entradas de log no formato JSON, selecione Baixar e JSON.

   

Logs de atividades do Azure

Exibir entradas de log de acesso elevado usando o portal do Microsoft Azure

1. Entre no portal do Azure como um Administrador Global.

2. Navegue até Monitorar>Log de atividades.

3. Altere a lista Atividade para Atividade de Diretório.

4. Pesquise a operação a seguir, o que significa a ação de acesso elevado.

   Assigns the caller to User Access Administrator role

   

Exibir entradas de log de acesso elevado usando a CLI do Azure

1. Use o comando az login para entrar como Administrador Global.

2. Use o comando az rest para fazer a chamada a seguir, na qual você terá que filtrar por uma data, conforme mostrado no exemplo de carimbo de data/hora, e especificar um nome de arquivo em que você deseja que os logs sejam armazenados.

   O url chama uma API para recuperar os logs no Microsoft.Insights. A saída será salva no arquivo.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. No arquivo de saída, pesquise elevateAccess.

   O log será semelhante ao seguinte, onde você pode ver o carimbo de data/hora de quando a ação ocorreu e quem a chamou.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegar acesso a um grupo para exibir entradas de log de acesso elevado usando a CLI do Azure

Se quiser obter periodicamente as entradas do log de acesso elevado, você pode delegar o acesso a um grupo e, em seguida, usar a CLI do Azure.

1. Navegue até Microsoft Entra ID>Grupos.

2. Crie um novo grupo de segurança e anote a ID do objeto de grupo.

3. Use o comando az login para entrar como Administrador Global.

4. Use o comando az role assignment create para atribuir a função Leitor ao grupo que pode somente ler os logs no nível do locatário, que são encontrados em Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Adicione um usuário que lerá os logs para o grupo criado anteriormente.

Um usuário do grupo agora pode executar periodicamente o comando az rest para exibir as entradas de registro de acesso elevado.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Próximas etapas

• Entender as diferentes funções
• Atribuir funções do Azure usando a API REST