Просмотр активности и журнала аудита для ролей ресурсов Azure в PIM

управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, позволяет просматривать действия, активации и журнал аудита для ролей ресурсов Azure в организации. Включая подписки, группы ресурсов и даже виртуальные машины. Любой ресурс в Центре администрирования Microsoft Entra, использующий функциональные возможности управления доступом на основе ролей Azure, может воспользоваться возможностями управления безопасностью и жизненным циклом в Privileged Identity Management. Если вы хотите сохранить данные аудита дольше, чем срок хранения по умолчанию, можно использовать Azure Monitor для маршрутизации данных в учетную запись хранения Azure. Дополнительные сведения см. в статье "Архив журналов Microsoft Entra" в учетную запись хранения Azure.

Примечание.

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут.

Просмотр действий и активаций

Чтобы просмотреть действия, выполняемые определенным пользователем в различных ресурсах, просмотрите действие ресурса Azure, связанное с периодом активации.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть сведения о действиях и активациях.

4. Выберите Роли или Участники.

5. Выберите пользователя.

   Отображается сводка действий пользователя в ресурсах Azure по датам. Здесь же будет показана информация о последних активациях роли за тот же период времени.

   

6. Выберите конкретную активацию роли, чтобы просмотреть подробные сведения и соответствующие действия с ресурсами Azure, которые произошли за время активности этого пользователя.

   

Экспорт назначений ролей с дочерними элементами

Для соответствия требованиям вам может потребоваться указать полный список назначений ролей для аудиторов. PIM позволяет запрашивать назначения ролей конкретного ресурса, в том числе всех его дочерних ресурсов. Ранее у администраторов возникали трудности при получении полного списка назначений ролей для подписки, и им нужно было экспортировать назначения ролей для каждого конкретного ресурса. С помощью PIM можно запрашивать все активные и допустимые назначения ролей в подписке, включая назначения ролей для всех ресурсов и групп ресурсов.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно экспортировать назначения ролей, например подписку.

4. Выберите назначения.

5. Выберите Экспорт, чтобы открыть панель "Экспорт членства".

   

6. Выберите Экспортировать всех участников, чтобы экспортировать все назначения ролей в файл CSV.

   

Просмотр журнала аудита ресурсов

Аудит ресурсов позволяет просмотреть все действия ролей для какого-либо ресурса.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

4. Выберите Аудит ресурсов.

5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

   

6. В раскрывающемся списке Тип аудита выберите Activate (Assigned + Activated) (Активировать (назначено + активировано)).

   

7. В столбце Действие выберите (активность) для нужного пользователя, чтобы просмотреть сведения о его активности в ресурсах Azure.

   

Просмотр раздела "Мой аудит"

В разделе "Мой аудит" можно просматривать действия, выполняемые в личной роли.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

4. Выберите Мой аудит.

5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

   

Примечание.

Для доступа к журналу аудита требуется по крайней мере роль администратора привилегированных ролей.

Получите причину, утверждающего и номер билета для событий утверждения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>

3. Используйте фильтр Службы, чтобы отображать только события аудита для службы управления привилегированными пользователями. На странице Журналов аудита вы можете:

   • Посмотреть причину события аудита в столбце Причина состояния.
   • См. Утверждающего в столбце Инициировано (действующим лицом) для события "добавить участника к утвержденному запросу роли".

   

4. Выберите событие журнала аудита, чтобы посмотреть номер заявки на вкладке Действие панели Сведения.

   

5. Вы можете просмотреть инициатора запроса (лицо, активирующее роль) на вкладке Цели панели Подробности для события аудита. Существует три типа целевых объектов для ролей ресурсов Azure:

   • Роль (Тип = Роль)
   • Инициатор запроса (Тип = Другой)
   • Утверждающий (Тип = Пользователь)

   

Как правило, событие в журнале, находящееся непосредственно над событием утверждения, является событием завершения добавления участника в роль, где инициатор (субъект) — это запрашиватель. В большинстве случаев вам не нужно искать инициатора запроса в запросе на утверждение с точки зрения аудита.

Следующие шаги

• Просмотр журнала аудита ролей Microsoft Entra в управление привилегированными пользователями