共用方式為


監視管理租用戶中的委派變更

身為服務提供者,您可能會想要注意何時透過 Azure Lighthouse 將客戶訂用帳戶或資源群組委派給租用戶,或何時移除先前委派的資源。

在管理租用戶中,Azure 活動記錄會追蹤租用戶層級的委派活動。 這個記錄的活動包括客戶租用戶的任何新增或移除的委派。

本主題說明監視所有客戶租用戶委派活動所需的權限。 這也包括範例指令碼,而此指令碼顯示一種對此資料進行查詢和報告的方法。

重要

所有這些步驟都必須在管理租用戶中執行,而不是在任何客戶租用戶中執行。

雖然我們在這個主題中所述的是服務提供者和客戶,但管理多個租用戶的企業可以使用相同的程序。

啟用租用戶層級資料的存取

若要存取租用戶層級活動記錄資料,必須在根範圍 (/) 將監視讀取者 Azure 內建角色指派給帳戶。 此指派必須由其全域管理員角色具有額外提高存取權的使用者執行。

提高全域管理員帳戶的存取權

若要在根範圍 (/) 指派角色,您必須具有提高存取權的全域管理員角色。 只有在您需要進行角色指派時,才應該啟用此提升許可權的存取權,然後在完成之後移除。

如需新增和移除提高存取權的詳細指示,請參閱提高存取權以管理所有 Azure 訂用帳戶和管理群組

在您提高存取權之後,您的帳戶將會在根範圍獲指派 Azure 中的使用者存取管理員角色。 此角色指派可讓您檢視所有資源,並指派目錄中任何訂用帳戶或管理群組中的存取權,以及在根範圍進行角色指派。

在根範圍指派監視讀取者角色

提高存取權之後,您可以將適當的許可權指派給帳戶,以便查詢租用戶層級的活動記錄數據。 此帳戶必須具有 在管理租使用者根範圍指派的監視讀取器 Azure 內建角色。

重要

授與根範圍的角色指派,表示相同的許可權會套用至租使用者中的每個資源。 由於這是如此廣泛的存取層級,因此建議 將此角色指派給服務主體帳戶,並使用該帳戶來查詢數據

您也可以將根範圍中的監視讀取者角色指派給個別使用者或使用者群組,讓他們可以直接在 Azure 入口網站中檢視委派資訊。 如果您這樣做,則請注意,這是廣泛的存取層級,應該盡可能限制為最少的使用者數目。

使用下列其中一種方法來進行根範圍指派。

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

New-AzRoleAssignment -SignInName <yourLoginName> -Scope "/" -RoleDefinitionName "Monitoring Reader"  -ObjectId <objectId> 

Azure CLI

# Log in first with az login if you're not using Cloud Shell

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Monitoring Reader" --scope "/"

移除全域管理員帳戶的提高權限存取權

將根範圍中的監視讀取者角色指派給所需的帳戶之後,請務必 移除全域管理員帳戶提升許可權的存取 權,因為不再需要此高階存取權。

檢視 Azure 入口網站中的委派變更

已獲指派根範圍監視讀取者角色的使用者可以直接在 Azure 入口網站中檢視委派變更。

  1. 導覽至 [我的客戶] 頁面,然後從左側導覽功能表中選取 [活動記錄]
  2. 確定在接近畫面頂端的篩選中選取 [目錄活動]
  3. 選取您想要檢視委派變更的時間範圍。

螢幕擷取畫面:Azure 入口網站中的委派變更。

使用服務主體帳戶來查詢活動記錄

由於根範圍中的監視讀取者角色是如此廣泛的存取層級,因此建議將角色指派給服務主體帳戶,並使用該帳戶透過腳本查詢數據。

重要

目前,查詢此資料時,具有大量委派活動的租用戶可能會發生錯誤。

使用服務主體帳戶來查詢活動記錄時,建議下列最佳做法:

在您建立服務主體帳戶,其具有管理租使用者根範圍的監視讀取器存取權之後,您可以使用它來查詢和報告委派活動。

此 Azure PowerShell 腳本 可用來查詢過去一天的活動,並報告任何新增或移除的委派(或未成功嘗試)。 其會查詢租用戶活動記錄資料,然後建構下列值,以報告已新增或移除的委派:

  • DelegatedResourceId:已委派訂用帳戶或資源群組的識別碼
  • CustomerTenantId:客戶租用戶識別碼
  • CustomerSubscriptionId:已委派或包含已委派資源群組的訂用帳戶識別碼
  • CustomerDelegationStatus:已委派資源的狀態變更 (成功或失敗)
  • EventTimeStamp:記錄委派變更的日期和時間

查詢此資料時,請記住:

  • 如果在單一部署中委派多個資源群組,則會針對每個資源群組傳回個別專案。
  • 對先前委派所做的變更(例如更新許可權結構)會記錄為新增的委派。
  • 如先前所述,帳戶必須具有根範圍 (/) 的監視讀取器 Azure 內建角色,才能存取此租用戶層級數據。
  • 您可以在自己的工作流程和報告中使用此資料。 例如,您可以使用 記錄擷取 API,從 REST API 用戶端將數據記錄到 Azure 監視器,然後使用 動作群組 來建立通知或警示。
# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Azure Lighthouse: Query Tenant Activity Log for registered/unregistered delegations for the last 1 day

$GetDate = (Get-Date).AddDays((-1))

$dateFormatForQuery = $GetDate.ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ssZ")

# Getting Azure context for the API call
$currentContext = Get-AzContext

# Fetching new token
$azureRmProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
$profileClient = [Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient]::new($azureRmProfile)
$token = $profileClient.AcquireAccessToken($currentContext.Tenant.Id)

$listOperations = @{
    Uri     = "https://management.azure.com/providers/microsoft.insights/eventtypes/management/values?api-version=2015-04-01&`$filter=eventTimestamp ge '$($dateFormatForQuery)'"
    Headers = @{
        Authorization  = "Bearer $($token.AccessToken)"
        'Content-Type' = 'application/json'
    }
    Method  = 'GET'
}
$list = Invoke-RestMethod @listOperations

# First link can be empty - and point to a next link (or potentially multiple pages)
# While you get more data - continue fetching and add result
while($list.nextLink){
    $list2 = Invoke-RestMethod $list.nextLink -Headers $listOperations.Headers -Method Get
    $data+=$list2.value;
    $list.nextLink = $list2.nextlink;
}

$showOperations = $data;

if ($showOperations.operationName.value -eq "Microsoft.Resources/tenants/register/action") {
    $registerOutputs = $showOperations | Where-Object -FilterScript { $_.eventName.value -eq "EndRequest" -and $_.resourceType.value -and $_.operationName.value -eq "Microsoft.Resources/tenants/register/action" }
    foreach ($registerOutput in $registerOutputs) {
        $eventDescription = $registerOutput.description | ConvertFrom-Json;
    $registerOutputdata = [pscustomobject]@{
        Event                    = "An Azure customer has registered delegated resources to your Azure tenant";
        DelegatedResourceId      = $eventDescription.delegationResourceId; 
        CustomerTenantId         = $eventDescription.subscriptionTenantId;
        CustomerSubscriptionId   = $eventDescription.subscriptionId;
        CustomerDelegationStatus = $registerOutput.status.value;
        EventTimeStamp           = $registerOutput.eventTimestamp;
        }
        $registerOutputdata | Format-List
    }
}
if ($showOperations.operationName.value -eq "Microsoft.Resources/tenants/unregister/action") {
    $unregisterOutputs = $showOperations | Where-Object -FilterScript { $_.eventName.value -eq "EndRequest" -and $_.resourceType.value -and $_.operationName.value -eq "Microsoft.Resources/tenants/unregister/action" }
    foreach ($unregisterOutput in $unregisterOutputs) {
        $eventDescription = $unregisterOutput.description | ConvertFrom-Json;
    $unregisterOutputdata = [pscustomobject]@{
        Event                    = "An Azure customer has unregistered delegated resources from your Azure tenant";
        DelegatedResourceId      = $eventDescription.delegationResourceId;
        CustomerTenantId         = $eventDescription.subscriptionTenantId;
        CustomerSubscriptionId   = $eventDescription.subscriptionId;
        CustomerDelegationStatus = $unregisterOutput.status.value;
        EventTimeStamp           = $unregisterOutput.eventTimestamp;
        }
        $unregisterOutputdata | Format-List
    }
}
else {
    Write-Output "No new delegation events for tenant: $($currentContext.Tenant.TenantId)"
}

下一步