Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper

Som global administratör i Microsoft Entra-ID kanske du inte har åtkomst till alla prenumerationer och hanteringsgrupper i din klientorganisation. Den här artikeln beskriver hur du kan öka din åtkomst till alla prenumerationer och hanteringsgrupper.

Kommentar

Information om hur du visar eller tar bort personliga data finns i Allmänna begäranden från datasubjekt för GDPR, Azure-datasubjektbegäranden för GDPR eller Begäranden från Windows-datasubjekt för GDPR, beroende på ditt specifika område och behov. Mer information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR-avsnittet i Service Trust-portalen.

Varför skulle du behöva utöka din åtkomst?

Om du är global administratör kan det finnas tillfällen då du vill utföra följande åtgärder:

• Återfå åtkomsten till en Azure-prenumeration eller hanteringsgrupp när en användare har förlorat åtkomsten
• tilldela en annan användare eller sig själv en Azure-prenumeration eller -hanteringsgrupp
• Se alla Azure-prenumerationer eller hanteringsgrupper i en organisation
• Tillåta en automatiseringsapp (till exempel en fakturerings- eller granskningsapp) att få åtkomst till alla Azure-prenumerationer eller hanteringsgrupper.

Hur fungerar utökad åtkomst?

Microsoft Entra ID- och Azure-resurser skyddas oberoende av varandra. Det innebär att Microsoft Entra-rolltilldelningar inte beviljar åtkomst till Azure-resurser och Azure-rolltilldelningar beviljar inte åtkomst till Microsoft Entra ID. Men om du är global administratör i Microsoft Entra-ID kan du tilldela dig själv åtkomst till alla Azure-prenumerationer och hanteringsgrupper i din klientorganisation. Använd funktionen om du saknar åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton, och du vill använda din globala administratörsbehörighet för att få åtkomst till dessa resurser.

När du höjer din åtkomst tilldelas du rollen Administratör för användaråtkomst i Azure i rotomfånget (/). På så sätt kan du visa alla resurser och tilldela åtkomst i valfri prenumeration eller hanteringsgrupp i klientorganisationen. Rolltilldelningar av administratör för användaråtkomst kan tas bort med Azure PowerShell, Azure CLI eller REST API.

Du bör ta bort den här upphöjda åtkomsten när du har gjort de ändringar som behövs i rotomfånget.

Utföra steg i rotomfånget

Azure-portalen

Steg 1: Utöka åtkomsten för en global administratör

Följ de här stegen för att öka åtkomsten för en global administratör med hjälp av Azure Portal.

1. Logga in på Azure-portalen som global administratör.

   Om du använder Microsoft Entra Privileged Identity Management aktiverar du rolltilldelningen Global administratör.

2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

   

3. Under Åtkomsthantering för Azure-resurser ställer du in växlingsknappen på Ja.

   

   När du anger växlingsknappen till Ja tilldelas du rollen Administratör för användaråtkomst i Azure RBAC i rotomfånget (/). Detta ger dig rätt att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är kopplade till denna Microsoft Entra-klientorganisation. Den här växlingsknappen är endast tillgänglig för användare som har rollen Global administratör tilldelad i Microsoft Entra ID.

   När du anger växlingsknappen till Nej tas rollen Administratör för användaråtkomst i Azure RBAC bort från ditt användarkonto. Du kan inte längre tilldela roller i Azure-prenumerationer och hanteringsgrupper som är kopplade till denna Microsoft Entra-klientorganisation. Du kan endast visa och hantera de Azure-prenumerationer och hanteringsgrupper som du har tilldelats åtkomst till.

   Kommentar

   Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

4. Välj Spara för att spara dina inställningar.

   Den här inställningen är inte en global egenskap och gäller endast för den aktuella inloggade användaren. Du kan inte höja åtkomsten för alla medlemmar i rollen Global administratör.

5. Logga ut och logga in igen för att uppdatera din åtkomst.

   Nu bör du ha åtkomst till alla prenumerationer och hanteringsgrupper i klientorganisationen. När du visar sidan Åtkomstkontroll (IAM) ser du att du har tilldelats rollen Administratör för användaråtkomst i rotomfånget.

   

6. Gör de ändringar du behöver med förhöjd åtkomst.

   Mer information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure-portalen. Om du använder Privileged Identity Management kan du läsa Identifiera Azure-resurser att hantera eller Tilldela Azure-resursroller.

7. Utför stegen i följande avsnitt för att ta bort den förhöjda åtkomsten.

Steg 2: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst i rotomfånget (/).

1. Logga in som samma användare som användes för att höja åtkomsten.

2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

3. Ställ in Åtkomsthantering för Azure-resurser för att växla tillbaka till Nej. Eftersom det här är en inställning per användare måste du vara inloggad som samma användare som användes för att öka åtkomsten.

   Om du försöker ta bort rolltilldelningen Administratör för användaråtkomst på sidan Åtkomstkontroll (IAM) visas följande meddelande. Om du vill ta bort rolltilldelningen måste du ange växlingsknappen till Nej eller använda Azure PowerShell, Azure CLI eller REST-API:et.

   

4. Logga ut som global administratör.

   Om du använder Privileged Identity Management inaktiverar du rolltilldelningen Global administratör.

   Kommentar

   Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

PowerShell

Steg 1: Utöka åtkomsten för en global administratör

Använd Azure Portal- eller REST-API:et för att öka åtkomsten för en global administratör.

Steg 2: Lista rolltilldelning i rotomfång (/)

När du har förhöjd åtkomst använder du kommandot Get-AzRoleAssignment för att visa rolltilldelningen Administratör för användaråtkomst för en användare i rotomfånget ()./

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Steg 3: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

1. Logga in som en användare som kan ta bort förhöjd åtkomst. Det kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

2. Använd kommandot Remove-AzRoleAssignment för att ta bort rolltilldelningen Administratör för användaråtkomst.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Steg 1: Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att öka åtkomsten för en global administratör med hjälp av Azure CLI.

1. Använd kommandot az rest för att anropa elevateAccess slutpunkten, vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Gör de ändringar du behöver med förhöjd åtkomst.

   Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure CLI.

3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Steg 2: Lista rolltilldelning i rotomfång (/)

När du har förhöjd åtkomst använder du kommandot az role assignment (az role assignment list) för att visa rolltilldelningsadministratören för en användare i rotomfånget ()./

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Steg 3: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

1. Logga in som en användare som kan ta bort förhöjd åtkomst. Det kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

2. Använd kommandot az role assignment delete för att ta bort rolltilldelningen Administratör för användaråtkomst.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST-API

Förutsättningar

Du måste använda följande versioner:

• 2015-07-01 eller senare för att lista och ta bort rolltilldelningar
• 2016-07-01 eller senare för att höja åtkomsten
• 2018-07-01-preview eller senare för att lista neka tilldelningar

Mer information finns i API-versioner av Azure RBAC REST API:er.

Steg 1: Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att öka åtkomsten för en global administratör med hjälp av REST-API:et.

1. Med HJÄLP av REST anropar elevateAccessdu , vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Gör de ändringar du behöver med förhöjd åtkomst.

   Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av REST-API:et.

3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Steg 2: Lista rolltilldelningar i rotomfånget (/)

När du har förhöjd åtkomst kan du lista alla rolltilldelningar för en användare i rotomfånget (/).

• Anropa rolltilldelningar – lista för omfång där {objectIdOfUser} är objekt-ID för den användare vars rolltilldelningar du vill hämta.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Steg 3: Lista neka tilldelningar i rotomfånget (/)

När du har förhöjd åtkomst kan du visa en lista över alla nekandetilldelningar för en användare i rotomfånget (/).

• Anropa Neka tilldelningar – lista för omfång där {objectIdOfUser} är objekt-ID för den användare vars neka tilldelningar du vill hämta.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Steg 4: Ta bort förhöjd åtkomst

När du anropar elevateAccessskapar du en rolltilldelning åt dig själv, så om du vill återkalla dessa behörigheter måste du ta bort rolltilldelningen Administratör för användaråtkomst åt dig själv i rotomfånget (/).

1. Anropa rolldefinitioner – Ta reda på var roleName är lika med administratör för användaråtkomst för att fastställa namn-ID för rollen Administratör för användaråtkomst.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Spara ID:t från parametern name i det här fallet 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Du måste också lista rolltilldelningen för klientadministratören i klientomfånget. Visa en lista över alla tilldelningar i klientomfånget för den principalId klientadministratör som gjorde upphöjt åtkomstanrop. Då visas alla tilldelningar i klientorganisationen för objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Kommentar

   En klientadministratör bör inte ha många tilldelningar. Om den föregående frågan returnerar för många tilldelningar kan du även fråga efter alla tilldelningar bara i klientomfånget och sedan filtrera resultatet: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Föregående anrop returnerar en lista över rolltilldelningar. Leta reda på rolltilldelningen där omfånget finns "/" och roleDefinitionId slutar med rollnamns-ID:t som du hittade i steg 1 och principalId matchar objectId för klientadministratören.

   Exempelrolltilldelning:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Spara återigen ID:t från parametern name , i det här fallet 1111111-1111-1111-1111-1111111111111.

4. Slutligen använder du rolltilldelnings-ID:t för att ta bort tilldelningen som lagts till av elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Visa användare med förhöjd åtkomst

Om du har användare med förhöjd åtkomst visas banderoller på ett par platser i Azure Portal. I det här avsnittet beskrivs hur du avgör om du har användare som har förhöjd åtkomst i din klientorganisation. Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i din klientorganisation.

Alternativ 1

1. I Azure Portal bläddrar du till Microsoft Entra ID Manage Properties (Hantera>egenskaper för Microsoft Entra-ID>).

2. Under Åtkomsthantering för Azure-resurser letar du efter följande banderoll.

   You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users

   

3. Välj länken Hantera användare med förhöjd åtkomst för att visa en lista över användare med förhöjd åtkomst.

Alternativ 2

1. I Azure Portal bläddrar du till en prenumeration.

2. Välj Åtkomstkontroll (IAM) .

3. Leta efter följande banderoll överst på sidan.

   Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments

   

4. Välj länken Visa rolltilldelningar för att visa en lista över användare med förhöjd åtkomst.

Ta bort förhöjd åtkomst för användare

Om du har användare med förhöjd åtkomst bör du vidta omedelbara åtgärder och ta bort den åtkomsten. Om du vill ta bort dessa rolltilldelningar måste du också ha förhöjd åtkomst. I det här avsnittet beskrivs hur du tar bort förhöjd åtkomst för användare i din klientorganisation med hjälp av Azure Portal. Den här funktionen distribueras stegvis, så den kanske inte är tillgänglig ännu i din klientorganisation.

1. Logga in på Azure-portalen som global administratör.

2. Bläddra till Microsoft Entra ID>Hantera>egenskaper.

3. Under Åtkomsthantering för Azure-resurser ställer du in växlingsknappen på Ja enligt beskrivningen tidigare i Steg 1: Utöka åtkomsten för en global administratör.

4. Välj länken Hantera användare med förhöjd åtkomst.

   Fönstret Användare med förhöjd åtkomst visas med en lista över användare med förhöjd åtkomst i din klientorganisation.

   

5. Om du vill ta bort förhöjd åtkomst för användare lägger du till en bockmarkering bredvid användaren och väljer Ta bort.

Visa elevate access log-poster

När åtkomsten har utökats eller tagits bort läggs en post till i loggarna. Som administratör i Microsoft Entra-ID kanske du vill kontrollera när åtkomsten har utökats och vem som gjorde det.

Utökade åtkomstloggposter visas i både Microsoft Entra-kataloggranskningsloggarna och Azure-aktivitetsloggarna. Utökade åtkomstloggposter för kataloggranskningsloggar och aktivitetsloggar innehåller liknande information. Kataloggranskningsloggarna är dock enklare att filtrera och exportera. Med exportfunktionen kan du också strömma åtkomsthändelser, som kan användas för dina aviserings- och identifieringslösningar, till exempel Microsoft Sentinel eller andra system. Information om hur du skickar loggar till olika mål finns i Konfigurera Diagnostikinställningar för Microsoft Entra för aktivitetsloggar.

I det här avsnittet beskrivs olika sätt att visa poster för upphöjda åtkomstloggar.

Microsoft Entra-granskningsloggar

Viktigt!

Utökade åtkomstloggposter i Microsoft Entra-kataloggranskningsloggarna är för närvarande i förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

1. Logga in på Azure-portalen som global administratör.

2. Bläddra till Granskningsloggar för Övervakning av>Microsoft Entra-ID.>

3. I tjänstfiltret väljer du Azure RBAC (förhöjd åtkomst) och sedan Använd.

   Förhöjda åtkomstloggar visas.

   

4. Om du vill visa information när åtkomsten utökades eller togs bort väljer du dessa granskningsloggposter.

   User has elevated their access to User Access Administrator for their Azure Resources

   The role assignment of User Access Administrator has been removed from the user

   

5. Om du vill ladda ned och visa nyttolasten för loggposterna i JSON-format väljer du Ladda ned och JSON.

   

Azure-aktivitetsloggar

Visa utökade åtkomstloggposter med hjälp av Azure Portal

1. Logga in på Azure-portalen som global administratör.

2. Bläddra till Övervaka aktivitetslogg>.

3. Ändra aktivitetslistan till Katalogaktivitet.

4. Sök efter följande åtgärd, vilket betyder åtgärden för att höja åtkomsten.

   Assigns the caller to User Access Administrator role

   

Visa utökade åtkomstloggposter med Hjälp av Azure CLI

1. Använd kommandot az login för att logga in som global administratör.

2. Använd kommandot az rest för att göra följande anrop där du måste filtrera efter ett datum som visas med exempeltidsstämpeln och ange ett filnamn där du vill att loggarna ska lagras.

   Anropar url ett API för att hämta loggarna i Microsoft.Insights. Utdata sparas i filen.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. I utdatafilen söker elevateAccessdu efter .

   Loggen liknar följande där du kan se tidsstämpeln för när åtgärden inträffade och vem som anropade den.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegera åtkomst till en grupp för att visa upphöjda åtkomstloggposter med hjälp av Azure CLI

Om du vill kunna hämta poster för upphöjt åtkomstlogg med jämna mellanrum kan du delegera åtkomst till en grupp och sedan använda Azure CLI.

1. Bläddra till Microsoft Entra ID-grupper>.

2. Skapa en ny säkerhetsgrupp och anteckna gruppobjektets ID.

3. Använd kommandot az login för att logga in som global administratör.

4. Använd kommandot az role assignment create för att tilldela rollen Läsare till gruppen som bara kan läsa loggar på klientorganisationsnivå, som finns på Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Lägg till en användare som läser loggar till den tidigare skapade gruppen.

En användare i gruppen kan nu regelbundet köra kommandot az rest för att visa upphöjda åtkomstloggposter.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nästa steg

• Förstå de olika rollerna
• Tilldela Azure-roller med hjälp av REST-API:et