Elevate access to manage all Azure subscriptions and management groups (Elevar o acesso para gerir todas as subscrições e grupos de gestão do Azure)

Como Administrador Global no Microsoft Entra ID, poderá não ter acesso a todas as subscrições e grupos de gestão no seu inquilino. Este artigo descreve as maneiras de elevar seu acesso a todas as assinaturas e grupos de gerenciamento.

Nota

Para obter informações sobre como exibir ou excluir dados pessoais, consulte Solicitações gerais do titular de dados para o GDPR, Solicitações do titular de dados do Azure para o GDPR ou Solicitações do titular de dados do Windows para o GDPR, dependendo da sua área e necessidades específicas. Para obter mais informações sobre o GDPR, consulte a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do portal Service Trust.

Por que razão precisa de elevar o acesso?

Se você for um Administrador Global, pode haver momentos em que você queira executar as seguintes ações:

• Recuperar o acesso a uma assinatura do Azure ou grupo de gerenciamento quando um usuário tiver perdido o acesso
• Conceder a outro utilizador ou a si próprio acesso a uma subscrição ou grupo de gestão do Azure
• Consultar todas as subscrições ou grupos de gestão do Azure numa organização
• Permitir que uma aplicação de automatização (como uma aplicação de faturação ou auditoria) aceda a todas as subscrições ou grupos de gestão do Azure

Como funciona o acesso elevado?

Os recursos do Azure e do Microsoft Entra são protegidos de forma independente uns dos outros. Ou seja, as atribuições de funções do Microsoft Entra não concedem acesso aos recursos do Azure, e as atribuições de funções do Azure não concedem acesso ao Microsoft Entra ID. No entanto, se você for um Administrador Global na ID do Microsoft Entra, poderá atribuir a si mesmo acesso a todas as assinaturas do Azure e grupos de gerenciamento em seu locatário. Utilize esta capacidade se não tiver acesso aos recursos da subscrição do Azure, como máquinas virtuais ou contas de armazenamento, e se quiser utilizar o privilégio de Administrador Global para ter acesso a esses recursos.

Quando você eleva seu acesso, é atribuída a função de Administrador de Acesso de Usuário no Azure no escopo raiz (/). Isso permite que você visualize todos os recursos e atribua acesso em qualquer assinatura ou grupo de gerenciamento no locatário. As atribuições de funções de Administrador de Acesso de Utilizador podem ser removidas com o Azure PowerShell, a CLI do Azure ou a API REST.

Deve remover este acesso elevado depois de ter feito as alterações necessárias no âmbito raiz.

Executar etapas no escopo raiz

Portal do Azure

Etapa 1: elevar o acesso de um administrador global

Siga estas etapas para elevar o acesso de um Administrador Global usando o portal do Azure.

1. Inicie sessão no Portal do Azure como Administrador Global.

   Se estiver a utilizar o Microsoft Entra Privileged Identity Management, ative a sua atribuição de função de Administrador Global.

2. Navegue até Microsoft Entra ID>Manage>Properties.

   

3. Em Gestão de acesso dos recursos do Azure, defina o botão de alternar como Sim.

   

   Quando você define a alternância como Sim, é atribuída a função de Administrador de Acesso de Usuário no RBAC do Azure no escopo raiz (/). Isto concede-lhe permissão para atribuir funções em todas as subscrições e grupos de gestão do Azure associados a este inquilino do Microsoft Entra. Este botão de alternância apenas está disponível para utilizadores a quem foi atribuída a função de Administrador Global no Microsoft Entra ID.

   Quando você define a alternância como Não, a função de Administrador de Acesso de Usuário no RBAC do Azure é removida da sua conta de usuário. Não é mais possível atribuir funções em todas as subscrições e grupos de gestão do Azure que estão associados a esse inquilino do Microsoft Entra. Apenas pode ver e gerir as subscrições e os grupos de gestão do Azure aos quais lhe foi concedido acesso.

   Nota

   Se você estiver usando o Privileged Identity Management, desativar sua atribuição de função não alterará a alternância de gerenciamento de acesso para recursos do Azure para Não. Para manter o acesso menos privilegiado, recomendamos que você defina essa alternância como Não antes de desativar sua atribuição de função.

4. Selecione Guardar para guardar a definição.

   Esta definição não é uma propriedade global e aplica-se apenas ao utilizador atualmente com sessão iniciada. Não é possível elevar o acesso de todos os membros da função Administrador Global.

5. Termine a sessão e volte a iniciar sessão para atualizar o seu acesso.

   Agora deve ter acesso a todas as subscrições e grupos de gestão no seu inquilino. Quando visualizar a página Controlo de acesso (IAM), irá ver que lhe foi atribuída a função Administrador de Acesso de Utilizador no âmbito raiz.

   

6. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure utilizando o portal do Azure. Se estiver a utilizar o Privileged Identity Management, consulte Descobrir recursos do Azure para gerir ou Atribuir funções de recursos do Azure.

7. Execute as etapas na seção a seguir para remover o acesso elevado.

Etapa 2: Remover o acesso elevado

Para remover a atribuição da função de Administrador de Acesso de Usuário no escopo raiz (/), siga estas etapas.

1. Entre como o mesmo usuário que foi usado para elevar o acesso.

2. Navegue até Microsoft Entra ID>Manage>Properties.

3. Defina o Gerenciamento de acesso para recursos do Azure de volta para Não. Como essa é uma configuração por usuário, você deve estar conectado como o mesmo usuário que foi usado para elevar o acesso.

   Se você tentar remover a atribuição de função de Administrador de Acesso de Usuário na página Controle de acesso (IAM), verá a seguinte mensagem. Para remover a atribuição de função, você deve definir a alternância de volta para Não ou usar o Azure PowerShell, a CLI do Azure ou a API REST.

   

4. Saia como Administrador Global.

   Se você estiver usando o Privileged Identity Management, desative sua atribuição de função de Administrador Global.

   Nota

   Se você estiver usando o Privileged Identity Management, desativar sua atribuição de função não alterará a alternância de gerenciamento de acesso para recursos do Azure para Não. Para manter o acesso menos privilegiado, recomendamos que você defina essa alternância como Não antes de desativar sua atribuição de função.

PowerShell

Etapa 1: elevar o acesso de um administrador global

Use o portal do Azure ou a API REST para elevar o acesso de um Administrador Global.

Etapa 2: Listar atribuição de função no escopo raiz (/)

Depois de ter acesso elevado, para listar a atribuição de função de Administrador de Acesso de Usuário para um usuário no escopo raiz (/), use o comando Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Etapa 3: Remover o acesso elevado

Para remover a atribuição da função de Administrador de Acesso de Usuário para você ou outro usuário no escopo raiz (/), siga estas etapas.

1. Entre como um usuário que pode remover o acesso elevado. Pode ser o mesmo usuário que foi usado para elevar o acesso ou outro Administrador Global com acesso elevado no escopo raiz.

2. Use o comando Remove-AzRoleAssignment para remover a atribuição de função de Administrador de Acesso de Usuário.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

CLI do Azure

Etapa 1: elevar o acesso de um administrador global

Use as etapas básicas a seguir para elevar o acesso de um Administrador Global usando a CLI do Azure.

1. Use o comando az rest para chamar o ponto de elevateAccess extremidade, que concede a você a função de Administrador de Acesso de Usuário no escopo raiz (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando a CLI do Azure.

3. Execute as etapas em uma seção posterior para remover o acesso elevado.

Etapa 2: Listar atribuição de função no escopo raiz (/)

Depois de ter acesso elevado, para listar a atribuição de função de Administrador de Acesso de Usuário para um usuário no escopo raiz (/), use o comando az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Etapa 3: Remover o acesso elevado

Para remover a atribuição da função de Administrador de Acesso de Usuário para você ou outro usuário no escopo raiz (/), siga estas etapas.

1. Entre como um usuário que pode remover o acesso elevado. Pode ser o mesmo usuário que foi usado para elevar o acesso ou outro Administrador Global com acesso elevado no escopo raiz.

2. Use o comando az role assignment delete para remover a atribuição de função de Administrador de Acesso de Usuário.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

API REST

Pré-requisitos

Você deve usar as seguintes versões:

• 2015-07-01 ou posterior para listar e remover atribuições de função
• 2016-07-01 ou mais tarde para elevar o acesso
• 2018-07-01-preview ou mais tarde para listar atribuições de negação

Para mais informações, consulte Versões da API das APIs REST do Azure RBAC.

Etapa 1: elevar o acesso de um administrador global

Use as etapas básicas a seguir para elevar o acesso de um administrador global usando a API REST.

1. Usando REST, chame elevateAccess, que concede a você a função de Administrador de Acesso de Usuário no escopo raiz (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Faça as alterações necessárias no acesso elevado.

   Para obter informações sobre como atribuir funções, consulte Atribuir funções do Azure usando a API REST.

3. Execute as etapas em uma seção posterior para remover o acesso elevado.

Etapa 2: Listar atribuições de função no escopo raiz (/)

Depois de ter acesso elevado, você pode listar todas as atribuições de função para um usuário no escopo raiz (/).

• Chamar Atribuições de Função - Lista Para Escopo , onde {objectIdOfUser} é a ID do objeto do usuário cujas atribuições de função você deseja recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Etapa 3: Listar atribuições de negação no escopo raiz (/)

Depois de ter acesso elevado, você pode listar todas as atribuições de negação para um usuário no escopo raiz (/).

• Chamar Negar Atribuições - Lista para Escopo , onde {objectIdOfUser} é a ID do objeto do usuário cujas atribuições de negação você deseja recuperar.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Etapa 4: Remover o acesso elevado

Ao ligar elevateAccesspara o , você cria uma atribuição de função para si mesmo, portanto, para revogar esses privilégios, você precisa remover a atribuição de função de Administrador de Acesso de Usuário para si mesmo no escopo raiz (/).

1. Definições de Função de Chamada - Obtenha onde roleName é igual a Administrador de Acesso de Usuário para determinar a ID de nome da função de Administrador de Acesso de Usuário.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Salve o ID do name parâmetro, neste caso 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Você também precisa listar a atribuição de função para o administrador do locatário no escopo do locatário. Liste todas as atribuições no escopo do locatário para o principalId administrador do locatário que fez a chamada de acesso elevado. Isso listará todas as atribuições no locatário para o objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Nota

   Um administrador de locatário não deve ter muitas atribuições. Se a consulta anterior retornar muitas atribuições, você também poderá consultar todas as atribuições apenas no escopo do locatário e, em seguida, filtrar os resultados: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. As chamadas anteriores retornam uma lista de atribuições de função. Localize a atribuição de função onde está o escopo "/" e as roleDefinitionId terminações com a ID do nome da função que você encontrou na etapa 1 e principalId corresponde ao objectId do administrador do locatário.

   Exemplo de atribuição de função:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Novamente, salve o ID do name parâmetro, neste caso 11111111-1111-1111-1111-11111111111111.

4. Por fim, use a ID da atribuição de função para remover a atribuição adicionada por elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Ver utilizadores com acesso elevado

Se você tiver usuários com acesso elevado, os banners serão exibidos em alguns locais do portal do Azure. Esta seção descreve como determinar se você tem usuários com acesso elevado em seu locatário. Esse recurso está sendo implantado em etapas, portanto, pode não estar disponível ainda em seu locatário.

Opção 1

1. No portal do Azure, navegue até Microsoft Entra ID>Manage>Properties.

2. Em Gerenciamento de acesso para recursos do Azure, procure o seguinte banner.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Selecione o link Gerenciar usuários de acesso elevado para exibir uma lista de usuários com acesso elevado.

Opção 2

1. No portal do Azure, navegue até uma assinatura.

2. Selecione Controlo de acesso (IAM) .

3. Na parte superior da página, procure o seguinte banner.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Selecione o link Exibir atribuições de função para exibir uma lista de usuários com acesso elevado.

Remover acesso elevado para usuários

Se você tiver usuários com acesso elevado, você deve tomar medidas imediatas e remover esse acesso. Para remover essas atribuições de função, você também deve ter acesso elevado. Esta seção descreve como remover o acesso elevado para usuários em seu locatário usando o portal do Azure. Esse recurso está sendo implantado em etapas, portanto, pode não estar disponível ainda em seu locatário.

1. Inicie sessão no Portal do Azure como Administrador Global.

2. Navegue até Microsoft Entra ID>Manage>Properties.

3. Em Gerenciamento de acesso para recursos do Azure, defina a alternância para Sim , conforme descrito anteriormente na Etapa 1: elevar o acesso para um administrador global.

4. Selecione o link Gerenciar usuários de acesso elevado.

   O painel Usuários com acesso elevado aparece com uma lista de usuários com acesso elevado em seu locatário.

   

5. Para remover o acesso elevado para os usuários, adicione uma marca de seleção ao lado do usuário e selecione Remover.

Exibir entradas de log de acesso elevadas

Quando o acesso é elevado ou removido, uma entrada é adicionada aos logs. Como administrador no Microsoft Entra ID, convém verificar quando o acesso foi elevado e quem o fez.

As entradas do log de acesso Elevate aparecem nos logs de auditoria de diretório do Microsoft Entra e nos logs de atividade do Azure. As entradas de log de acesso elevado para logs de auditoria de diretório e logs de atividades incluem informações semelhantes. No entanto, os logs de auditoria de diretório são mais fáceis de filtrar e exportar. Além disso, o recurso de exportação permite transmitir eventos de acesso, que podem ser usados para suas soluções de alerta e deteção, como o Microsoft Sentinel ou outros sistemas. Para obter informações sobre como enviar logs para destinos diferentes, consulte Configurar configurações de diagnóstico do Microsoft Entra para logs de atividades.

Esta seção descreve diferentes maneiras de exibir as entradas do log de acesso elevado.

Logs de auditoria do Microsoft Entra

Importante

Elevar entradas de log de acesso nos logs de auditoria de diretório do Microsoft Entra está atualmente em visualização. Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

1. Inicie sessão no Portal do Azure como Administrador Global.

2. Navegue até Logs de auditoria de monitoramento do>Microsoft Entra ID>.

3. No filtro Serviço, selecione RBAC do Azure (Acesso Elevado) e, em seguida, selecione Aplicar.

   Logs de acesso elevado são exibidos.

   

4. Para exibir detalhes quando o acesso foi elevado ou removido, selecione estas entradas de log de auditoria.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Para baixar e visualizar a carga das entradas de log no formato JSON, selecione Download e JSON.

   

Registos de atividade do Azure

Exibir entradas de log de acesso elevadas usando o portal do Azure

1. Inicie sessão no Portal do Azure como Administrador Global.

2. Navegue até Monitorar>registro de atividades.

3. Altere a lista de atividades para Atividade do diretório.

4. Procure a seguinte operação, que significa a ação de elevação de acesso.

   Assigns the caller to User Access Administrator role

   

Exibir entradas de log de acesso elevadas usando a CLI do Azure

1. Use o comando az login para entrar como Administrador Global.

2. Use o comando az rest para fazer a seguinte chamada, onde você terá que filtrar por uma data, conforme mostrado com o exemplo de carimbo de data/hora, e especificar um nome de arquivo onde você deseja que os logs sejam armazenados.

   O url chama uma API para recuperar os logs no Microsoft.Insights. A saída será salva no seu arquivo.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. No arquivo de saída, procure elevateAccesspor .

   O log será semelhante ao seguinte, onde você pode ver o carimbo de data/hora de quando a ação ocorreu e quem a chamou.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegar acesso a um grupo para exibir entradas de log de acesso elevadas usando a CLI do Azure

Se quiser obter periodicamente as entradas do log de acesso elevado, você pode delegar acesso a um grupo e, em seguida, usar a CLI do Azure.

1. Navegue até Grupos de ID>do Microsoft Entra.

2. Crie um novo grupo de segurança e anote a ID do objeto do grupo.

3. Use o comando az login para entrar como Administrador Global.

4. Use o comando az role assignment create para atribuir a função Reader ao grupo que só pode ler logs no nível do locatário, que são encontrados em Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Adicione um usuário que lerá logs ao grupo criado anteriormente.

Um usuário no grupo agora pode executar periodicamente o comando az rest para exibir as entradas do log de acesso elevado.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Próximos passos

• Compreender as diferentes funções
• Atribuir funções do Azure com a API REST