Toegang verhogen om alle Azure-abonnementen en beheergroepen te beheren

Als globale beheerder in Azure Active Directory (Azure AD) hebt u mogelijk geen toegang tot alle abonnementen en beheergroepen in uw directory. In dit artikel worden de manieren beschreven waarop u uw toegang tot alle abonnementen en beheergroepen kunt uitbreiden.

Notitie

Voor meer informatie over persoonsgegevens bekijken of verwijderen, raadpleegt u AVG-verzoeken van betrokkenen voor Azure. Zie de sectie AVG van het Microsoft Trust Center en de SECTIE AVG van de Service Trust Portal voor meer informatie over de AVG.

Waarom zou u uw toegang moeten verhogen?

Als u een globale beheerder bent, kan het gebeuren dat u de volgende acties wilt uitvoeren:

  • Opnieuw toegang krijgen tot een Azure-abonnement of -beheergroep wanneer een gebruiker geen toegang meer heeft
  • Een andere gebruiker of uzelf toegang te verlenen tot een Azure-abonnement of -beheergroep
  • Alle Azure-abonnementen of -beheergroepen in een organisatie bekijken
  • Toestaan dat een automation-app (zoals een facturerings- of controle-app) toegang heeft tot alle Azure-abonnementen of -beheergroepen

Hoe werkt verhoogde toegang?

Azure AD- en Azure-resources worden onafhankelijk van elkaar beveiligd. Dit betekent dat Azure AD-roltoewijzingen geen toegang verlenen tot Azure-resources en Azure-roltoewijzingen geen toegang verlenen tot Azure AD. Als u echter een globale beheerder in Azure AD bent, kunt u uzelf toegang geven tot alle Azure-abonnementen en -beheergroepen in uw directory. Gebruik deze mogelijkheid als u geen toegang hebt tot Azure-abonnementsresources, zoals virtuele machines of opslagaccounts, en u uw globale beheerdersrechten wilt gebruiken om toegang te krijgen tot deze resources.

Wanneer u uw toegang verhoogt, krijgt u de rol Gebruikerstoegangsbeheerder in Azure toegewezen op het hoofdbereik (/). Hiermee kunt u alle resources weergeven en toegang toewijzen in elk abonnement of elke beheergroep in de directory. Toewijzingen van de rol Administrator voor gebruikerstoegang kunnen worden verwijderd met Azure PowerShell, Azure CLI of de REST API.

U moet deze verhoogde toegang verwijderen nadat u de wijzigingen hebt aangebracht voor het hoofdbereik.

Elevate access

Azure Portal

Toegang verhogen voor een globale beheerder

Volg deze stappen om de toegang voor een globale beheerder te verhogen met behulp van Azure Portal.

  1. Meld u als globale beheerder aan bij Azure Portal of het Azure Active Directory-beheercentrum .

    Als u Azure AD Privileged Identity Management gebruikt, activeert u de roltoewijzing van globale beheerder.

  2. Open Azure Active Directory.

  3. Selecteer Eigenschappen onder Beheren.

    Select Properties for Azure Active Directory properties - screenshot

  4. Stel onder Toegangsbeheer voor Azure-resources de wisselknop in op Ja.

    Access management for Azure resources - screenshot

    Wanneer u de wisselknop instelt op Ja, krijgt u de rol Gebruikerstoegangbeheerder in Azure RBAC toegewezen op het hoofdbereik (/). Hiermee verleent u toestemming om rollen toe te wijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Azure AD-directory. Deze wisselknop is alleen beschikbaar voor gebruikers aan wie de rol Globale beheerder in Azure AD is toegewezen.

    Wanneer u de wisselknop instelt op Nee, wordt de rol Gebruikerstoegangsbeheerder in Azure RBAC verwijderd uit uw gebruikersaccount. U kunt geen rollen meer toewijzen in alle Azure-abonnementen en -beheergroepen die zijn gekoppeld aan deze Azure AD-directory. U kunt alleen de Azure-abonnementen en -beheergroepen waartoe u toegang hebt gekregen weergeven en beheren.

    Notitie

    Als u Privileged Identity Management gebruikt, wordt het uitschakelen van uw roltoewijzing niet gewijzigd in Neevoor toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

  5. Klik op Opslaan om de instelling op te slaan.

    Deze instelling is geen globale eigenschap en is alleen van toepassing op de momenteel aangemelde gebruiker. U kunt de toegang voor alle leden van de rol Globale beheerder niet verhogen.

  6. Meld u af en weer aan om uw toegang te vernieuwen.

    U hebt nu toegang tot alle abonnementen en beheergroepen in uw directory. Wanneer u het deelvenster Toegangsbeheer (IAM) bekijkt, ziet u dat u de rol Gebruikerstoegangsbeheerder bij het hoofdbereik hebt toegewezen.

    Subscription role assignments with root scope - screenshot

  7. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

    Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van rollen. Als u Privileged Identity Management gebruikt, raadpleegt u Ontdek Azure-resources omAzure-resourcerollen te beheren of toe te wijzen.

  8. Voer de stappen in de volgende sectie uit om uw verhoogde toegang te verwijderen.

Verhoogde toegang verwijderen

Voer de volgende stappen uit om de roltoewijzing Gebruikerstoegangsbeheerder bij het hoofdbereik (/) te verwijderen.

  1. Meld u aan als dezelfde gebruiker die is gebruikt om de toegang te verhogen.

  2. Klik in de navigatielijst op Azure Active Directory en klik vervolgens op Eigenschappen.

  3. Stel het toegangsbeheer voor Azure-resources weer in op Nee. Omdat dit een instelling per gebruiker is, moet u zijn aangemeld als dezelfde gebruiker als die is gebruikt om de toegang te verhogen.

    Als u de roltoewijzing Gebruikerstoegangsbeheerder probeert te verwijderen in het deelvenster Toegangsbeheer (IAM), ziet u het volgende bericht. Als u de roltoewijzing wilt verwijderen, moet u de wisselknop terugzetten op Nee of Azure PowerShell, Azure CLI of de REST API gebruiken.

    Remove role assignments with root scope

  4. Meld u af als globale beheerder.

    Als u Privileged Identity Management gebruikt, moet u de roltoewijzing van de globale beheerder deactiveren.

    Notitie

    Als u Privileged Identity Management gebruikt, wordt het uitschakelen van uw roltoewijzing niet gewijzigd in Neevoor toegangsbeheer voor Azure-resources. Als u de minst bevoegde toegang wilt behouden, raden we u aan deze wisselknop in te stellen op Nee voordat u uw roltoewijzing deactiveert.

Azure PowerShell

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Roltoewijzing vermelden bij hoofdbereik (/)

Gebruik de opdracht Get-AzRoleAssignment om de roltoewijzing Gebruikerstoegangsbeheerder weer te geven voor een gebruiker in het hoofdbereik (/).

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Verhoogde toegang verwijderen

Voer de volgende stappen uit als u de roltoewijzing Beheerder voor gebruikerstoegang voor uzelf of een andere gebruiker in het hoofdbereik (/) wilt verwijderen.

  1. Meld u aan als een gebruiker die verhoogde toegang kan verwijderen. Dit kan dezelfde gebruiker zijn die is gebruikt voor het verhogen van toegang of een andere globale beheerder met verhoogde toegang tot het hoofdbereik.

  2. Gebruik de opdracht Remove-AzRoleAssignment om de roltoewijzing User Access Administrator te verwijderen.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLI

Toegang verhogen voor een globale beheerder

Gebruik de volgende basisstappen om de toegang voor een globale beheerder te verhogen met behulp van de Azure CLI.

  1. Gebruik de opdracht az rest om het elevateAccess eindpunt aan te roepen, waarmee u de rol User Access Administrator op het hoofdbereik (/) verleent.

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

    Zie Azure-rollen toewijzen met behulp van de Azure CLI voor meer informatie over het toewijzen van rollen.

  3. Voer de stappen in een latere sectie uit om uw verhoogde toegang te verwijderen.

Roltoewijzing vermelden bij hoofdbereik (/)

Gebruik de opdracht az role assignment list om de roltoewijzing User Access Administrator voor een gebruiker op het hoofdbereik (/) weer te geven.

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Verhoogde toegang verwijderen

Voer de volgende stappen uit als u de roltoewijzing Beheerder voor gebruikerstoegang voor uzelf of een andere gebruiker in het hoofdbereik (/) wilt verwijderen.

  1. Meld u aan als een gebruiker die verhoogde toegang kan verwijderen. Dit kan dezelfde gebruiker zijn die is gebruikt voor het verhogen van toegang of een andere globale beheerder met verhoogde toegang tot het hoofdbereik.

  2. Gebruik de opdracht az role assignment delete om de roltoewijzing User Access Administrator te verwijderen.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST-API

Toegang verhogen voor een globale beheerder

Gebruik de volgende basisstappen om de toegang voor een globale beheerder te verhogen met behulp van de REST API.

  1. Met REST kunt u aanroepen elevateAccess, waarmee u de rol Gebruikerstoegangsbeheerder krijgt bij het hoofdbereik (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Breng de wijzigingen aan die u moet aanbrengen bij verhoogde toegang.

    Zie Azure-rollen toewijzen met behulp van de REST API voor meer informatie over het toewijzen van rollen.

  3. Voer de stappen in een latere sectie uit om uw verhoogde toegang te verwijderen.

Roltoewijzingen weergeven op hoofdbereik (/)

U kunt alle roltoewijzingen voor een gebruiker op het hoofdbereik (/) weergeven.

  • Roep GET roleAssignments aan waar {objectIdOfUser} de object-id is van de gebruiker waarvan u de roltoewijzingen wilt ophalen.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Weigeringstoewijzingen weergeven in het hoofdbereik (/)

U kunt alle weigeringstoewijzingen voor een gebruiker weergeven in het hoofdbereik (/).

  • Roep GET denyAssignments aan, waarbij {objectIdOfUser} de object-id is van de gebruiker waarvan u de weigeringstoewijzingen wilt ophalen.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Verhoogde toegang verwijderen

Wanneer u aanroept elevateAccess, maakt u een roltoewijzing voor uzelf, dus als u deze bevoegdheden wilt intrekken, moet u de roltoewijzing Beheerder voor gebruikerstoegang voor uzelf verwijderen in het hoofdbereik (/).

  1. Roep GET roleDefinitions aan waarbij roleName de beheerder van gebruikerstoegang gelijk is aan de naam-id van de rol Administrator voor gebruikerstoegang.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Sla de id op uit de name parameter, in dit geval 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. U moet ook de roltoewijzing voor de adreslijstbeheerder op adreslijstbereik vermelden. Geef alle toewijzingen op adreslijstbereik weer voor de principalId adreslijstbeheerder die de aanroep toegang heeft verhogen. Hiermee worden alle toewijzingen in de map voor de object-id weergegeven.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Notitie

    Een directorybeheerder mag niet veel toewijzingen hebben, als de vorige query te veel toewijzingen retourneert, kunt u ook query's uitvoeren voor alle toewijzingen op adreslijstbereikniveau en vervolgens de resultaten filteren: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

  3. De vorige aanroepen retourneren een lijst met roltoewijzingen. Zoek de roltoewijzing waar het bereik zich bevindt "/" en eindigt roleDefinitionId met de rolnaam-id die u in stap 1 hebt gevonden en principalId komt overeen met de object-id van de mapbeheerder.

    Voorbeeldroltoewijzing:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Sla de id opnieuw op uit de name parameter, in dit geval 11111111-1111-1111-11111-1111111111111.

  4. Gebruik ten slotte de roltoewijzings-id om de toewijzing te verwijderen die is toegevoegd door elevateAccess:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2015-07-01
    

Toegangslogboeken uitbreiden

Wanneer de toegang is verhoogd, wordt er een vermelding toegevoegd aan de logboeken. Als globale beheerder in Azure AD kunt u controleren wanneer de toegang is verhoogd en wie dit heeft gedaan. Toegangslogboekvermeldingen verhogen worden niet weergegeven in de standaardactiviteitslogboeken, maar worden in plaats daarvan weergegeven in de logboeken van de adreslijstactiviteit. In deze sectie worden verschillende manieren beschreven waarop u de toegangslogboeken kunt uitbreiden.

Toegangslogboeken uitbreiden met behulp van Azure Portal

  1. Volg de stappen eerder in dit artikel om uw toegang te verhogen.

  2. Meld u als globale beheerder aan bij Azure Portal .

  3. OpenActiviteitenlogboekbewaken>.

  4. Wijzig de lijst Met activiteiten in Adreslijstactiviteit.

  5. Zoek naar de volgende bewerking, waarmee de toegangsactie wordt geëxtificeerd.

    Assigns the caller to User Access Administrator role

    Screenshot showing directory activity logs in Monitor.

  6. Volg de stappen eerder in dit artikel om verhoogde toegang te verwijderen.

Toegangslogboeken uitbreiden met behulp van Azure CLI

  1. Volg de stappen eerder in dit artikel om uw toegang te verhogen.

  2. Gebruik de opdracht az login om u aan te melden als globale beheerder.

  3. Gebruik de az rest-opdracht om de volgende aanroep uit te voeren waar u moet filteren op een datum, zoals wordt weergegeven met het voorbeeldtijdstempel en geef een bestandsnaam op waar u de logboeken wilt opslaan.

    Hiermee url wordt een API aangeroepen om de logboeken op te halen in Microsoft.Insights. De uitvoer wordt opgeslagen in uw bestand.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  4. Zoek in het uitvoerbestand naar elevateAccess.

    Het logboek ziet er ongeveer als volgt uit, waar u de tijdstempel kunt zien van wanneer de actie is opgetreden en wie de actie heeft aangeroepen.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    
  5. Volg de stappen eerder in dit artikel om verhoogde toegang te verwijderen.

Toegang tot een groep delegeren om toegangslogboeken uit te breiden met behulp van Azure CLI

Als u periodiek toegangslogboeken wilt kunnen ophalen, kunt u de toegang tot een groep delegeren en vervolgens Azure CLI gebruiken.

  1. Open Azure Active Directory-groepen>.

  2. Maak een nieuwe beveiligingsgroep en noteer de groepsobject-id.

  3. Volg de stappen eerder in dit artikel om uw toegang te verhogen.

  4. Gebruik de opdracht az login om u aan te melden als globale beheerder.

  5. Gebruik de opdracht az role assignment create om de rol Lezer toe te wijzen aan de groep die alleen logboeken kan lezen op mapniveau, die te vinden zijn op Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  6. Voeg een gebruiker toe die logboeken leest aan de eerder gemaakte groep.

  7. Volg de stappen eerder in dit artikel om verhoogde toegang te verwijderen.

Een gebruiker in de groep kan nu periodiek de az rest-opdracht uitvoeren om toegangslogboeken te bekijken.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Volgende stappen