Повышение прав доступа для управления всеми подписками Azure и группами управления

Как глобальный администратор в идентификаторе Microsoft Entra, у вас может не быть доступа ко всем подпискам и группам управления в вашем клиенте. В этой статье описываются способы, с помощью которых вы можете повысить права доступа для всех подписок и групп управления.

Примечание.

Сведения о просмотре или удалении персональных данных см. в разделе "Общие запросы субъекта данных" для GDPR, запросов субъекта данных Azure для GDPR или запросов субъектов данных Windows для GDPR в зависимости от конкретной области и потребностей. Дополнительные сведения о GDPR см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.

Для чего нужно повышение прав доступа

Если вы являетесь глобальным администратором, иногда могут возникать ситуации, требующие выполнения следующих действий:

• восстановление доступа к подписке Azure или группе управления, если пользователь потерял доступ;
• чтобы предоставить другому пользователю или самому себе доступ к подписке или группе управления Azure;
• просмотр всех подписок Azure или групп управления в организации;
• предоставление приложению автоматизации (например, приложению для выставления счетов или аудита) доступа ко всем подпискам Azure или группам управления.

Как работает повышение прав доступа

Microsoft Entra ID и ресурсы Azure защищены независимо друг от друга. То есть назначения ролей Microsoft Entra не предоставляют доступ к ресурсам Azure, а назначения ролей Azure не предоставляют доступ к Microsoft Entra ID. Однако если вы являетесь глобальным администратором в идентификаторе Microsoft Entra, вы можете назначить себе доступ ко всем подпискам Azure и группам управления в клиенте. Эту возможность следует использовать, если у вас нет доступа к ресурсам в подписке Azure, например к виртуальным машинам или учетным записям хранения, и вы хотите использовать свои привилегии глобального администратора для получения доступа к этим ресурсам.

При повышении доступа вы назначаете роль администратора доступа пользователей в Azure в корневой области (/). Это позволяет просматривать все ресурсы и назначать доступ в любой подписке или группе управления в клиенте. Назначения роли администратора доступа пользователей можно удалить с помощью Azure PowerShell, Azure CLI или REST API.

После внесения изменений, которые необходимо выполнить на уровне корня, следует удалить этот повышенный уровень доступа.

Выполнение шагов в корневой области

Портал Azure

Шаг 1. Повышение доступа для глобального администратора

Выполните следующие действия, чтобы повысить права доступа глобального администратора с помощью портала Azure.

1. Войдите на портал Azure как глобальный администратор.

   Если вы используете microsoft Entra управление привилегированными пользователями, активируйте назначение роли глобального администратора.

2. Перейдите к свойству управления свойствами> идентификатора Microsoft Entra ID.>

   

3. В разделе Управление доступом для ресурсов Azure установите значение Да.

   

   Когда вы переводите этот переключатель в положение Да, вам назначается роль администратора доступа пользователей в Azure RBAC с корнем каталога (/) в качестве области действия. Это дает вам разрешение на назначение ролей во всех подписках Azure и группах управления, связанных с этим клиентом Microsoft Entra. Этот переключатель доступен только для пользователей, которым назначена роль глобального администратора в идентификаторе Microsoft Entra.

   Если для переключателя задать значение Нет, роль администратора доступа пользователей в Azure RBAC будет удалена из вашей учетной записи. Вы больше не можете назначать роли во всех подписках Azure и группах управления, связанных с этим клиентом Microsoft Entra. Вы сможете просматривать (и управлять ими) только подписки и группы управления Azure, к которым вам был предоставлен доступ.

   Примечание.

   Если вы используете Privileged Identity Management, деактивация назначения ролей не приводит к перемещению переключателя Управление доступом для ресурсов Azure в положение Нет. Чтобы поддерживать минимально необходимый уровень привилегий, установите этот переключатель в положение Нет перед отключением назначения роли.

4. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

   Этот параметр не является глобальным свойством и применяется только к текущему выполнившему вход пользователю. Вы не можете повысить права доступа для всех членов роли глобального администратора.

5. Выйдите из системы и войдите снова, чтобы обновить доступ.

   Теперь у вас должен быть доступ ко всем подпискам и группам управления в клиенте. При просмотре страницы управления доступом (IAM) вы заметите, что роль администратора доступа пользователей назначена в корневой области.

   

6. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью портала Azure. Если вы используете Privileged Identity Management, воспользуйтесь инструкциями в статье Обнаружение ресурсов Azure для управления ими с помощью Privileged Identity Management (PIM) или Назначение ролей для доступа к ресурсам Azure с помощью службы "Управление привилегированными пользователями".

7. Выполните действия, описанные в следующем разделе, чтобы удалить доступ с повышенными правами.

Шаг 2. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/), выполните следующие шаги.

1. Войдите в систему от имени пользователя, которого вы использовали для повышения уровня доступа.

2. Перейдите к свойству управления свойствами> идентификатора Microsoft Entra ID.>

3. Переведите переключатель Управление доступом для ресурсов Azure в положение Нет. Так как это параметр для отдельного пользователя, необходимо войти как тот же пользователь, который использовался для повышения доступа.

   Если вы попытаетесь удалить назначение роли администратора доступа пользователей на странице управления доступом (IAM), отобразится следующее сообщение. Чтобы удалить это назначение роли, необходимо перевести переключатель в положение Нет или воспользоваться Azure PowerShell, Azure CLI или REST API.

   

4. Выполните выход пользователя с правами глобального администратора.

   Если вы используете Privileged Identity Management, отключите назначение роли глобального администратора.

   Примечание.

   Если вы используете Privileged Identity Management, деактивация назначения ролей не приводит к перемещению переключателя Управление доступом для ресурсов Azure в положение Нет. Чтобы поддерживать минимально необходимый уровень привилегий, установите этот переключатель в положение Нет перед отключением назначения роли.

PowerShell

Шаг 1. Повышение доступа для глобального администратора

Используйте портал Azure или REST API для повышения доступа для глобального администратора.

Шаг 2. Перечисление назначения ролей в корневой области (/)

Получив повышенный доступ, чтобы получить список назначения роли администратора доступа пользователей для пользователя в корневой области (/), используйте команду Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Шаг 3. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/) у себя или у другого пользователя, выполните следующие действия.

1. Войдите в систему как пользователь, который может удалить повышенный уровень доступа. Это может быть тот же пользователь, который использовался для повышения прав доступа, или любой другой глобальный администратор с повышенными правами доступа в корневой области.

2. Чтобы удалить назначение роли администратора доступа пользователей, воспользуйтесь командой Remove-AzRoleAssignment.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Шаг 1. Повышение доступа для глобального администратора

Чтобы повысить права доступа глобального администратора с помощью Azure CLI, выполните приведенные ниже основные действия.

1. Используйте команду az rest, чтобы вызвать конечную точку elevateAccess, которая предоставляет роль администратора доступа пользователей в корневой области (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью Azure CLI.

3. Выполните действия, описанные в разделе ниже, чтобы удалить доступ с повышенными правами.

Шаг 2. Перечисление назначения ролей в корневой области (/)

Получив повышенный доступ, чтобы вывести список назначения роли администратора доступа пользователей для пользователя в корневой области (/), используйте команду az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Шаг 3. Удаление повышенного доступа

Чтобы удалить назначение роли администратора доступа пользователей в корневой области (/) у себя или у другого пользователя, выполните следующие действия.

1. Войдите в систему как пользователь, который может удалить повышенный уровень доступа. Это может быть тот же пользователь, который использовался для повышения прав доступа, или любой другой глобальный администратор с повышенными правами доступа в корневой области.

2. Чтобы удалить назначение роли администратора доступа пользователей, воспользуйтесь командой az role assignment delete.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST API

Необходимые компоненты

Необходимо использовать следующие версии:

• 2015-07-01 или более поздней версии для перечисления и удаления назначений ролей
• 2016-07-01 или более поздней версии для повышения доступа
• 2018-07-01-preview или более поздней версии для перечисления отклонений назначений

Дополнительные сведения см. в версиях API Azure RBAC REST APIs.

Шаг 1. Повышение доступа для глобального администратора

Чтобы повысить права доступа глобального администратора с помощью REST API, выполните приведенные ниже основные действия.

1. В REST API вызовите действие elevateAccess, которое предоставит вам роль администратора доступа пользователей в корневой области (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Выполните изменения, для которых требуются повышенные права доступа.

   Сведения о назначении ролей см. в статье Назначение ролей Azure с помощью REST API.

3. Выполните действия, описанные в разделе ниже, чтобы удалить доступ с повышенными правами.

Шаг 2. Вывод списка назначений ролей в корневой области (/)

Получив повышенный доступ, вы можете перечислить все назначения ролей для пользователя в корневой области (/).

• Вызов назначений ролей — список для области , где {objectIdOfUser} находится идентификатор объекта пользователя, назначения ролей которого требуется получить.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Шаг 3. Вывод списка запрещенных назначений в корневой области (/)

Получив повышенный доступ, вы можете перечислить все назначения запрета для пользователя в корневой области (/).

• Назначение запрета вызова — список для области , где {objectIdOfUser} находится идентификатор объекта пользователя, чьи назначения запрета требуется извлечь.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Шаг 4. Удаление повышенного доступа

При вызове elevateAccess для вас создается назначение роли, а для отзыва этих привилегий необходимо удалить назначение роли администратора доступа пользователей в корневой области (/).

1. Определения ролей вызова— получениеroleName, где равен администратору доступа пользователей, чтобы определить идентификатор имени роли администратора доступа пользователей.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Сохраните ИД из параметра name. В этом случае — 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Кроме того, необходимо указать назначение ролей для администратора клиента в области клиента. Выведите список всех назначений в области клиента для principalId администратора клиента, совершившего вызов на повышение прав доступа. При этом будут перечислены все назначения в клиенте для objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Примечание.

   Администратор клиента не должен иметь много назначений. Если предыдущий запрос возвращает слишком много назначений, можно также запросить все назначения только в области клиента, а затем отфильтровать результаты: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Предыдущие вызовы возвращают список назначения ролей. Найдите назначение роли, у которого задана область "/" и roleDefinitionId заканчивается значением ИД имени роли, найденным на шаге 1, а principalId совпадает со значением objectId администратора клиента.

   Пример назначения ролей:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Сохраните идентификатор из параметра name, который в нашем примере имеет значение 11111111-1111-1111-1111-111111111111.

4. Наконец, используйте ИД назначения роли, чтобы удалить назначение, добавленное elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Просмотр пользователей с повышенным доступом

Если у вас есть пользователи с повышенными привилегиями, баннеры отображаются в нескольких расположениях портал Azure. В этом разделе описывается, как определить, имеются ли у вас пользователи с повышенными правами доступа в клиенте. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте.

Вариант 1

1. В портал Azure перейдите к свойству управления свойствами> идентификатора>Записи Майкрософт.

2. В разделе "Управление доступом для ресурсов Azure" найдите следующий баннер.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Выберите ссылку "Управление пользователями с повышенными привилегиями" , чтобы просмотреть список пользователей с повышенными привилегиями.

Вариант 2

1. В портал Azure перейдите к подписке.

2. Выберите Управление доступом (IAM).

3. В верхней части страницы найдите следующий баннер.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Выберите ссылку "Просмотр назначений ролей" , чтобы просмотреть список пользователей с повышенными привилегиями доступа.

Удаление повышенного доступа для пользователей

Если у вас есть пользователи с повышенными привилегиями, необходимо немедленно выполнить действия и удалить этот доступ. Чтобы удалить эти назначения ролей, необходимо также иметь повышенный доступ. В этом разделе описывается, как удалить повышенный доступ для пользователей в клиенте с помощью портал Azure. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте.

1. Войдите на портал Azure как глобальный администратор.

2. Перейдите к свойству управления свойствами> идентификатора Microsoft Entra ID.>

3. В разделе "Управление доступом для ресурсов Azure" установите переключатель "Да ", как описано ранее на шаге 1. Повышение доступа для глобального администратора.

4. Выберите ссылку "Управление пользователями с повышенными привилегиями ".

   Откроется панель "Пользователи с повышенными привилегиями" со списком пользователей с повышенным уровнем доступа в клиенте.

   

5. Чтобы удалить повышенный доступ для пользователей, добавьте флажок рядом с пользователем и нажмите кнопку "Удалить".

Просмотр записей журнала повышения прав доступа в журналах действий каталога

При повышении доступа запись добавляется в журналы. Как глобальный администратор в идентификаторе Microsoft Entra, вы можете проверить, когда доступ был повышен и кто это сделал. Записи журнала повышенного доступа не отображаются в стандартных журналах действий, но вместо этого отображаются в журналах действий каталога. В этом разделе описаны различные способы просмотра записей журнала повышенного доступа.

Просмотр записей журнала повышения прав доступа с помощью портал Azure

1. Войдите на портал Azure как глобальный администратор.

2. Перейдите к журналу действий мониторинга>.

3. Измените список действий на действие каталога.

4. Выполните поиск следующей операции, которая означает действие повышенного доступа.

   Assigns the caller to User Access Administrator role

   

Просмотр записей журнала повышения прав доступа с помощью Azure CLI

1. Используйте команду az login для входа в качестве глобального администратора.

2. Используйте команду az rest, чтобы выполнить следующий вызов, где необходимо отфильтровать по дате, как показано в примере метки времени и указать имя файла, в котором должны храниться журналы.

   Вызывает url API для получения журналов в Microsoft.Insights. Выходные данные будут сохранены в файле.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. В выходном файле выполните поиск elevateAccess.

   Журнал будет выглядеть следующим образом, где можно увидеть метку времени, когда произошло действие и кто его вызвал.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Делегирование доступа к группе для просмотра записей журнала повышения прав доступа с помощью Azure CLI

Если вы хотите периодически получать записи журнала повышенного доступа, вы можете делегировать доступ к группе, а затем использовать Azure CLI.

1. Перейдите к группам идентификаторов Microsoft Entra.>

2. Создайте новую группу безопасности и запишите идентификатор объекта группы.

3. Используйте команду az login для входа в качестве глобального администратора.

4. Используйте команду az role assignment create, чтобы назначить роль читателя группе, которая может читать журналы только на уровне клиента, которые находятся на Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Добавьте пользователя, который будет считывать журналы в ранее созданную группу.

Пользователь в группе теперь может периодически запускать команду az rest , чтобы просмотреть записи журнала повышенных прав доступа.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Следующие шаги

• Общие сведения о различных ролях
• Назначение ролей Azure с помощью REST API