Просмотр активности и журнала аудита для ролей ресурсов Azure в PIM

управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, позволяет просматривать действия, активации и журнал аудита для ролей ресурсов Azure в организации. Включая подписки, группы ресурсов и даже виртуальные машины. Любой ресурс в Центре администрирования Microsoft Entra, использующее функции управления доступом на основе ролей Azure, может воспользоваться возможностями управления безопасностью и жизненным циклом в управление привилегированными пользователями. Если необходимо хранить данные аудита дольше стандартного срока хранения, можно использовать Azure Monitor, чтобы направить его в учетную запись хранения Azure. Дополнительные сведения см. в статье "Архив журналов Microsoft Entra" в учетную запись хранения Azure.

Примечание.

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут.

Просмотр действий и активаций

Чтобы узнать, какие действия определенный пользователь выполнял в различных ресурсах, можно просмотреть сведения об активности для ресурсов Azure за конкретный период активации.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть сведения о действиях и активациях.

4. Выберите Роли или Участники.

5. Выберите пользователя.

   Отображается сводка действий пользователя в ресурсах Azure по датам. Здесь же будет показана информация о последних активациях роли за тот же период времени.

   

6. Выберите конкретную активацию роли, чтобы просмотреть подробные сведения и соответствующие действия с ресурсами Azure, которые произошли за время активности этого пользователя.

   

Экспорт назначений ролей с дочерними элементами

Для соответствия требованиям вам может потребоваться указать полный список назначений ролей для аудиторов. PIM позволяет запрашивать назначения ролей конкретного ресурса, в том числе всех его дочерних ресурсов. Ранее у администраторов возникали трудности при получении полного списка назначений ролей для подписки, и им нужно было экспортировать назначения ролей для каждого конкретного ресурса. С помощью PIM можно запрашивать все активные и допустимые назначения ролей в подписке, включая назначения ролей для всех ресурсов и групп ресурсов.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно экспортировать назначения ролей, например подписку.

4. Выберите назначения.

5. Выберите Экспорт, чтобы открыть панель "Экспорт членства".

   

6. Выберите Экспортировать всех участников, чтобы экспортировать все назначения ролей в файл CSV.

   

Просмотр журнала аудита ресурсов

Аудит ресурсов позволяет просмотреть все действия ролей для какого-либо ресурса.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

4. Выберите Аудит ресурсов.

5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

   

6. В раскрывающемся списке Тип аудита выберите Activate (Assigned + Activated) (Активировать (назначено + активировано)).

   

7. В столбце Действие выберите (активность) для нужного пользователя, чтобы просмотреть сведения о его активности в ресурсах Azure.

   

Просмотр раздела "Мой аудит"

В разделе "Мой аудит" можно просматривать действия, выполняемые в личной роли.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> РесурсыAzure.

3. Выберите ресурс, для которого нужно просмотреть журнал аудита.

4. Выберите Мой аудит.

5. Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.

   

Примечание.

Для доступа к журналу аудита требуется роль глобального администратора или привилегированная роль администратора.

Получите причину, утверждающего и номер билета для событий утверждения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>.

3. Используйте фильтр Службы, чтобы отображать только события аудита для службы управления привилегированными пользователями. На странице Журналов аудита вы можете:

   • Посмотреть причину события аудита в столбце Причина состояния.
   • См. Утверждающего в столбце Инициировано (действующим лицом) для события "добавить участника к утвержденному запросу роли".

   

4. Выберите событие журнала аудита, чтобы посмотреть номер заявки на вкладке Действие панели Сведения.

   

5. Вы можете просмотреть инициатора запроса (лицо, активирующее роль) на вкладке Цели панели Подробности для события аудита. Существует три типа целевых объектов для ролей ресурсов Azure:

   • Роль (Тип = Роль)
   • Инициатор запроса (Тип = Другой)
   • Утверждающий (Тип = Пользователь)

   

Как правило, событие журнала аудита, отображаемое непосредственно над событием утверждения, является событием "Добавление члена роли завершено", для которого в поле Кем инициировано (субъект) указывается инициатор запроса. В большинстве случаев вам не нужно искать инициатора запроса в запросе на утверждение с точки зрения аудита.

Следующие шаги

• Просмотр журнала аудита ролей Microsoft Entra в управление привилегированными пользователями