Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper

Som global administratör i Azure Active Directory (Azure AD) kanske du inte har åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. Den här artikeln beskriver hur du kan höja din åtkomst till alla prenumerationer och hanteringsgrupper.

Anteckning

I Azure-begäranden från registrerad person för GDPR finns det information om att visa eller ta bort personuppgifter. Mer information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR i Service Trust-portalen.

Varför skulle du behöva utöka din åtkomst?

Om du är global administratör kan det finnas tillfällen då du vill utföra följande åtgärder:

  • Återfå åtkomsten till en Azure-prenumeration eller hanteringsgrupp när en användare har förlorat åtkomsten
  • tilldela en annan användare eller sig själv en Azure-prenumeration eller -hanteringsgrupp
  • Se alla Azure-prenumerationer eller hanteringsgrupper i en organisation
  • Tillåt att en automationsapp (till exempel en fakturerings- eller granskningsapp) får åtkomst till alla Azure-prenumerationer eller hanteringsgrupper

Hur fungerar utökad åtkomst?

Azure AD- och Azure-resurser skyddas oberoende av varandra. Det innebär att Azure AD-rolltilldelningar inte beviljar åtkomst till Azure-resurser och Azure-rolltilldelningar beviljar inte åtkomst till Azure AD. Men om du är global administratör i Azure AD kan du tilldela dig själv åtkomst till alla Azure-prenumerationer och hanteringsgrupper i din katalog. Använd funktionen om du saknar åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton, och du vill använda din globala administratörsbehörighet för att få åtkomst till dessa resurser.

När du höjer din åtkomst tilldelas du rollen Administratör för användaråtkomst i Azure i rotomfånget (/). Det innebär att du kan se alla resurser och tilldela åtkomst i valfri prenumeration eller hanteringsgrupp i katalogen. Rolltilldelningar av administratör för användaråtkomst kan tas bort med Azure PowerShell, Azure CLI eller REST API.

Du bör ta bort den här upphöjda åtkomsten när du har gjort de ändringar som behövs i rotomfånget.

Elevate access

Azure Portal

Utöka åtkomsten för en global administratör

Följ de här stegen för att höja åtkomsten för en global administratör med hjälp av Azure Portal.

  1. Logga in på Azure Portal eller administrationscentret för Azure Active Directory som global administratör.

    Om du använder Azure AD Privileged Identity Management aktiverar du rolltilldelningen Global administratör.

  2. Öppna Azure Active Directory.

  3. Välj Egenskaper under Hantera.

    Select Properties for Azure Active Directory properties - screenshot

  4. Under Åtkomsthantering för Azure-resurser anger du växlingsknappen till Ja.

    Access management for Azure resources - screenshot

    När du ställer in växlingsknappen på Ja tilldelas du rollen Administratör för användaråtkomst i Azure RBAC i rotomfånget (/). Detta ger dig behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Azure AD-katalogen. Den här växlingsknappen är endast tillgänglig för användare som har tilldelats rollen Global administratör i Azure AD.

    När du anger växlingsknappen till Nej tas rollen Administratör för användaråtkomst i Azure RBAC bort från ditt användarkonto. Du kan inte längre tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Azure AD-katalogen. Du kan bara visa och hantera de Azure-prenumerationer och hanteringsgrupper som du har beviljats åtkomst till.

    Anteckning

    Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

  5. Klicka på Spara för att spara inställningen.

    Den här inställningen är inte en global egenskap och gäller endast för den inloggade användaren. Du kan inte höja åtkomsten för alla medlemmar i rollen Global administratör.

  6. Logga ut och logga in igen för att uppdatera din åtkomst.

    Nu bör du ha åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. När du visar fönstret Åtkomstkontroll (IAM) ser du att du har tilldelats rollen Administratör för användaråtkomst i rotomfånget.

    Subscription role assignments with root scope - screenshot

  7. Gör de ändringar du behöver göra vid förhöjd åtkomst.

    Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure Portal. Om du använder Privileged Identity Management läser du Identifiera Azure-resurser för att hantera eller tilldela Azure-resursroller.

  8. Utför stegen i följande avsnitt för att ta bort din förhöjda åtkomst.

Ta bort utökad åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst i rotomfånget (/).

  1. Logga in som samma användare som användes för att höja åtkomsten.

  2. I navigeringslistan klickar du på Azure Active Directory och sedan på Egenskaper.

  3. Ställ in Åtkomsthantering för Azure-resurser och växla tillbaka till Nej. Eftersom det här är en inställning per användare måste du vara inloggad som samma användare som användes för att höja åtkomsten.

    Om du försöker ta bort rolltilldelningen Administratör för användaråtkomst i fönstret Åtkomstkontroll (IAM) visas följande meddelande. Om du vill ta bort rolltilldelningen måste du ange växlingsknappen till Nej eller använda Azure PowerShell, Azure CLI eller REST-API:et.

    Remove role assignments with root scope

  4. Logga ut som global administratör.

    Om du använder Privileged Identity Management inaktiverar du rolltilldelningen Global administratör.

    Anteckning

    Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

Azure PowerShell

Anteckning

Den här artikeln använder Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Lista rolltilldelning i rotomfånget (/)

Om du vill visa en lista över rolltilldelningen Administratör för användaråtkomst för en användare i rotomfånget (/) använder du kommandot Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}
RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Ta bort utökad åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

  1. Logga in som en användare som kan ta bort förhöjd åtkomst. Detta kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

  2. Använd kommandot Remove-AzRoleAssignment för att ta bort rolltilldelningen Administratör för användaråtkomst.

    Remove-AzRoleAssignment -SignInName <username@example.com> `
      -RoleDefinitionName "User Access Administrator" -Scope "/"
    

Azure CLI

Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att höja åtkomsten för en global administratör med hjälp av Azure CLI.

  1. Använd kommandot az rest för att anropa elevateAccess slutpunkten, vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

    az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
    
  2. Gör de ändringar du behöver göra vid förhöjd åtkomst.

    Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure CLI.

  3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Lista rolltilldelning i rotomfånget (/)

Om du vill visa en lista över rolltilldelningen Administratör för användaråtkomst för en användare i rotomfånget (/) använder du kommandot az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"
[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Ta bort utökad åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

  1. Logga in som en användare som kan ta bort förhöjd åtkomst. Detta kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

  2. Använd kommandot az role assignment delete för att ta bort rolltilldelningen Administratör för användaråtkomst.

    az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
    

REST-API

Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att höja åtkomsten för en global administratör med hjälp av REST-API:et.

  1. Med HJÄLP av REST anropar elevateAccessdu , vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

    POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
    
  2. Gör de ändringar du behöver göra vid förhöjd åtkomst.

    Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av REST-API:et.

  3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Lista rolltilldelningar i rotomfånget (/)

Du kan lista alla rolltilldelningar för en användare i rotomfånget (/).

  • Anropa GET-rollTilldelningar där {objectIdOfUser} är objekt-ID:t för den användare vars rolltilldelningar du vill hämta.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectIdOfUser}'
    

Lista neka tilldelningar i rotomfånget (/)

Du kan visa en lista över alla nekande tilldelningar för en användare i rotomfånget (/).

  • Anropa GET denyAssignments där {objectIdOfUser} är objekt-ID:t för den användare vars nekande tilldelningar du vill hämta.

    GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2018-07-01-preview&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
    

Ta bort utökad åtkomst

När du anropar elevateAccessskapar du en rolltilldelning åt dig själv, så för att återkalla de behörigheterna måste du ta bort rolltilldelningen Administratör för användaråtkomst för dig själv i rotomfånget (/).

  1. Anropa GET-rollDefinitioner där roleName är lika med Administratör för användaråtkomst för att fastställa namn-ID för rollen Administratör för användaråtkomst.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01&$filter=roleName+eq+'User Access Administrator'
    
    {
      "value": [
        {
          "properties": {
      "roleName": "User Access Administrator",
      "type": "BuiltInRole",
      "description": "Lets you manage user access to Azure resources.",
      "assignableScopes": [
        "/"
      ],
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Authorization/*",
            "Microsoft.Support/*"
          ],
          "notActions": []
        }
      ],
      "createdOn": "0001-01-01T08:00:00.0000000Z",
      "updatedOn": "2016-05-31T23:14:04.6964687Z",
      "createdBy": null,
      "updatedBy": null
          },
          "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
          "type": "Microsoft.Authorization/roleDefinitions",
          "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
        }
      ],
      "nextLink": null
    }
    

    Spara ID:t från parametern name i det här fallet 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

  2. Du måste också lista rolltilldelningen för katalogadministratören i katalogomfånget. Visa en lista över alla tilldelningar i katalogomfånget principalId för katalogadministratören som gjorde upphöjt åtkomstanrop. Då visas alla tilldelningar i katalogen för objectid.

    GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=principalId+eq+'{objectid}'
    

    Anteckning

    En katalogadministratör bör inte ha många tilldelningar. Om den föregående frågan returnerar för många tilldelningar kan du även fråga efter alla tilldelningar på katalogomfångsnivå och sedan filtrera resultatet: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01&$filter=atScope()

  3. De tidigare anropen returnerar en lista över rolltilldelningar. Leta reda på rolltilldelningen där omfånget finns "/" och roleDefinitionId slutar med rollnamns-ID:t som du hittade i steg 1 och principalId matchar objectId för katalogadministratören.

    Exempelrolltilldelning:

    {
      "value": [
        {
          "properties": {
            "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
            "principalId": "{objectID}",
            "scope": "/",
            "createdOn": "2016-08-17T19:21:16.3422480Z",
            "updatedOn": "2016-08-17T19:21:16.3422480Z",
            "createdBy": "22222222-2222-2222-2222-222222222222",
            "updatedBy": "22222222-2222-2222-2222-222222222222"
          },
          "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
          "type": "Microsoft.Authorization/roleAssignments",
          "name": "11111111-1111-1111-1111-111111111111"
        }
      ],
      "nextLink": null
    }
    

    Spara återigen ID:t från parametern name , i det här fallet 11111111-1111-1111-1111-11111111111111.

  4. Slutligen använder du rolltilldelnings-ID:t för att ta bort tilldelningen som lagts till av elevateAccess:

    DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2015-07-01
    

Visa utökade åtkomstloggar

När åtkomsten är förhöjd läggs en post till i loggarna. Som global administratör i Azure AD kanske du vill kontrollera när åtkomsten har utökats och vem som gjorde det. Utökade åtkomstloggposter visas inte i standardaktivitetsloggarna, utan visas i stället i katalogaktivitetsloggarna. I det här avsnittet beskrivs olika sätt att visa upphöjt åtkomstloggar.

Visa utökade åtkomstloggar med hjälp av Azure Portal

  1. Följ stegen tidigare i den här artikeln för att höja din åtkomst.

  2. Logga in på Azure Portal som global administratör.

  3. Öppna MonitorActivity-loggen>.

  4. Ändra aktivitetslistan till Katalogaktivitet.

  5. Sök efter följande åtgärd, vilket betyder åtgärden för att höja åtkomsten.

    Assigns the caller to User Access Administrator role

    Screenshot showing directory activity logs in Monitor.

  6. Följ stegen tidigare i den här artikeln för att ta bort förhöjd åtkomst.

Visa elevate access logs using Azure CLI (Visa utökade åtkomstloggar med Azure CLI)

  1. Följ stegen tidigare i den här artikeln för att höja din åtkomst.

  2. Använd kommandot az login för att logga in som global administratör.

  3. Använd kommandot az rest för att göra följande anrop där du måste filtrera efter ett datum som visas med exempeltidsstämpeln och ange ett filnamn där du vill att loggarna ska lagras.

    Anropar url ett API för att hämta loggarna i Microsoft.Insights. Utdata sparas i filen.

    az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  4. I utdatafilen söker elevateAccessdu efter .

    Loggen liknar följande där du kan se tidsstämpeln för när åtgärden inträffade och vem som anropade den.

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    
  5. Följ stegen tidigare i den här artikeln för att ta bort förhöjd åtkomst.

Delegera åtkomst till en grupp för att visa utökade åtkomstloggar med hjälp av Azure CLI

Om du vill kunna hämta upphöjt åtkomstloggar regelbundet kan du delegera åtkomst till en grupp och sedan använda Azure CLI.

  1. Öppna Azure Active Directory>Grupper.

  2. Skapa en ny säkerhetsgrupp och anteckna gruppobjektets ID.

  3. Följ stegen tidigare i den här artikeln för att höja din åtkomst.

  4. Använd kommandot az login för att logga in som global administratör.

  5. Använd kommandot az role assignment create för att tilldela rollen Läsare till gruppen som bara kan läsa loggar på katalognivå, som finns på Microsoft/Insights.

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  6. Lägg till en användare som ska läsa loggar till den tidigare skapade gruppen.

  7. Följ stegen tidigare i den här artikeln för att ta bort förhöjd åtkomst.

En användare i gruppen kan nu regelbundet köra kommandot az rest för att visa utökade åtkomstloggar.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nästa steg