共用方式為

在 Privileged Identity Management 中檢視 Azure 資源角色的活動和稽核歷程記錄

  • 發行項

Microsoft Entra ID 中的 Privileged Identity Management (PIM) 可讓您檢視組織內 Azure 資源角色的活動、啟用及稽核記錄。 適用範圍包括訂用帳戶、資源群組甚至是虛擬機器。 所有在 Microsoft Entra 系統管理中心內利用 Azure 角色型存取控制功能的資源,都可以運用 Privileged Identity Management 中的安全性和生命週期管理功能。 若您想保留稽核資料的時間長於預設保留期間,可以使用 Azure 監視器將其路由到 Azure 儲存體帳戶。 如需詳細資訊,請參閱將 Microsoft Entra 記錄封存到 Azure 儲存體帳戶

注意

如果您的組織已將管理功能外包給使用 Azure Lighthouse 的服務提供者,則此處不會顯示由該服務提供者授權的角色指派。

檢視活動和啟用

若要查看特定使用者在各種資源中採取的動作,您可以檢視與特定啟用期間相關聯的 Azure 資源活動。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] >[Privileged Identity Management] > [Azure 資源]

  3. 選取您想要檢視活動與啟用的資源。

  4. 選取 [角色][成員]

  5. 選取使用者。

    您會依日期看到使用者在 Azure 資源中所採取動作的摘要。 它也會顯示同一時間週期內最近的角色啟用情況。

    使用者詳細資料和資源活動摘要與角色啟用的螢幕擷取畫面。

  6. 選取特定角色啟用以查看在使用者作用時所發生的詳細資料和相對應的 Azure 資源活動。

    選取的角色啟用和活動詳細資料的螢幕擷取畫面。

匯出具有子系的角色指派

您的合規性需求可能會要求您必須提供完整的角色指派清單給稽核員。 Privileged Identity Management 可讓您查詢特定資源的角色指派,其中包含所有子資源的角色指派。 之前系統管理員很難取得訂用帳戶的角色指派完整清單,而且他們必須針對每個特定資源匯出角色指派。 您可以使用 Privileged Identity Management 查詢訂用帳戶中所有作用中和合格的角色指派,包括所有的資源群組和資源的角色指派。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] >[Privileged Identity Management] > [Azure 資源]

  3. 選取您想要匯出角色指派的資源,例如訂閱。

  4. 選取 [指派]

  5. 選取 [匯出] 來開啟 [匯出成員資格] 窗格。

    顯示匯出成員資格窗格以匯出所有成員的螢幕擷取畫面。

  6. 選取 [匯出所有會員] 以在 CSV 檔案中匯出所有角色指派。

    如 Excel 所示,此螢幕擷取畫面顯示 CSV 檔案中匯出的角色指派。

檢視資源稽核歷程記錄

資源稽核提供您一個資源的所有角色活動檢視表。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] >[Privileged Identity Management] > [Azure 資源]

  3. 選取您想要檢視稽核記錄的資源。

  4. 選取 資源稽核

  5. 使用預先定義的日期或自訂範圍來篩選歷程記錄。

    顯示具有篩選條件之資源稽核清單的螢幕擷取畫面。

  6. 在 [稽核類型] 中,選取 [啟動 (已指派 + 已啟動)]

    此螢幕擷取畫面顯示依啟用稽核類型篩選的資源稽核清單。

  7. [動作] 底下,選取使用者的 (活動) 以在 Azure 中查看使用者的活動詳細資料。

    顯示特定動作之使用者活動詳細資料的螢幕擷取畫面。

檢視我的稽核

我的稽核可讓您檢視您的個人角色活動。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] >[Privileged Identity Management] > [Azure 資源]

  3. 選取您想要檢視稽核記錄的資源。

  4. 選取 [我的稽核]

  5. 使用預先定義的日期或自訂範圍來篩選歷程記錄。

    顯示目前使用者之稽核清單的螢幕擷取畫面。

注意

存取稽核記錄至少需要特殊權限角色管理員角色。

取得核准事件的原因、核准者和票證號碼

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄]

  3. 使用 [服務] 篩選條件僅顯示 Privileged Identity Management 服務的稽核事件。 在 [稽核記錄] 頁面上,您可以:

    • 在 [狀態原因] 資料行中查看稽核事件的原因。
    • 針對「將成員新增到已核准的角色要求」事件,查看 [發起者 (執行者)] 資料行中的核准者。

    顯示篩選 PIM 服務之稽核記錄的螢幕擷取畫面。

  4. 選取稽核記錄事件以查看 [詳細資料] 窗格的 [活動] 索引標籤上的票證號碼。

    顯示稽核事件之票證號碼的螢幕擷取畫面。

  5. 您可以在 [詳細資料] 窗格的 [目標] 索引標籤上檢視稽核事件的要求者 (啟動角色的人員)。 Azure 資源角色有三種目標型別:

    • 角色 (類型 = 角色)
    • 要求者 (類型 = 其他)
    • 核准者 (類型 = 使用者)

    顯示如何檢查目標類型的螢幕擷取畫面。

一般來說,核准事件上方的記錄事件是「將成員新增到角色已完成」的事件,其中發起者 (執行者) 是要求者。 在大多數情況下,您不需要從稽核的角度在核准要求中找到要求者。

下一步