Utöka åtkomst för att hantera alla Azure-prenumerationer och hanteringsgrupper

Som global administratör i Microsoft Entra ID kanske du inte har åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. Den här artikeln beskriver hur du kan öka din åtkomst till alla prenumerationer och hanteringsgrupper.

Kommentar

I Azure-begäranden från registrerad person för GDPR finns det information om att visa eller ta bort personuppgifter. Mer information om GDPR finns i avsnittet GDPR i Microsoft Trust Center och GDPR-avsnittet i Service Trust-portalen.

Varför skulle du behöva utöka din åtkomst?

Om du är global administratör kan det finnas tillfällen då du vill utföra följande åtgärder:

• Återfå åtkomsten till en Azure-prenumeration eller hanteringsgrupp när en användare har förlorat åtkomsten
• tilldela en annan användare eller sig själv en Azure-prenumeration eller -hanteringsgrupp
• Se alla Azure-prenumerationer eller hanteringsgrupper i en organisation
• Tillåt att en automationsapp (till exempel en fakturerings- eller granskningsapp) får åtkomst till alla Azure-prenumerationer eller hanteringsgrupper

Hur fungerar utökad åtkomst?

Microsoft Entra ID- och Azure-resurser skyddas oberoende av varandra. Det innebär att Microsoft Entra-rolltilldelningar inte beviljar åtkomst till Azure-resurser och Azure-rolltilldelningar beviljar inte åtkomst till Microsoft Entra ID. Som global administratör i Microsoft Entra ID kan du dock tilldela dig själv åtkomst till alla Azure-prenumerationer och hanteringsgrupper i din katalog. Använd funktionen om du saknar åtkomst till Azure-prenumerationsresurser, till exempel virtuella datorer eller lagringskonton, och du vill använda din globala administratörsbehörighet för att få åtkomst till dessa resurser.

När du höjer din åtkomst tilldelas du rollen Administratör för användaråtkomst i Azure i rotomfånget (/). Det innebär att du kan se alla resurser och tilldela åtkomst i valfri prenumeration eller hanteringsgrupp i katalogen. Rolltilldelningar av administratör för användaråtkomst kan tas bort med Azure PowerShell, Azure CLI eller REST API.

Du bör ta bort den här upphöjda åtkomsten när du har gjort de ändringar som behövs i rotomfånget.

Utföra steg i rotomfånget

Azure-portalen

Steg 1: Utöka åtkomsten för en global administratör

Följ de här stegen för att öka åtkomsten för en global administratör med hjälp av Azure-portalen.

1. Logga in på Azure-portalen som global administratör.

   Om du använder Microsoft Entra Privileged Identity Management aktiverar du rolltilldelningen Global administratör.

2. Öppna Microsoft Entra ID.

3. Välj Egenskaper under Hantera.

   

4. Under Åtkomsthantering för Azure-resurser anger du växlingsknappen till Ja.

   

   När du anger växlingsknappen till Ja tilldelas du rollen Administratör för användaråtkomst i Azure RBAC i rotomfånget (/). Detta ger dig behörighet att tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-katalogen. Den här växlingsknappen är endast tillgänglig för användare som har tilldelats rollen Global administratör i Microsoft Entra-ID.

   När du anger växlingsknappen till Nej tas rollen Administratör för användaråtkomst i Azure RBAC bort från ditt användarkonto. Du kan inte längre tilldela roller i alla Azure-prenumerationer och hanteringsgrupper som är associerade med den här Microsoft Entra-katalogen. Du kan bara visa och hantera de Azure-prenumerationer och hanteringsgrupper som du har beviljats åtkomst till.

   Kommentar

   Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

5. Spara inställningen genom att klicka på Spara .

   Den här inställningen är inte en global egenskap och gäller endast för den inloggade användaren. Du kan inte höja åtkomsten för alla medlemmar i rollen Global administratör.

6. Logga ut och logga in igen för att uppdatera din åtkomst.

   Nu bör du ha åtkomst till alla prenumerationer och hanteringsgrupper i din katalog. När du visar fönstret Åtkomstkontroll (IAM) ser du att du har tilldelats rollen Administratör för användaråtkomst i rotomfånget.

   

7. Gör de ändringar du behöver göra vid förhöjd åtkomst.

   Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure-portalen. Om du använder Privileged Identity Management kan du läsa Identifiera Azure-resurser för att hantera eller tilldela Azure-resursroller.

8. Utför stegen i följande avsnitt för att ta bort den förhöjda åtkomsten.

Steg 2: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst i rotomfånget (/).

1. Logga in som samma användare som användes för att höja åtkomsten.

2. I navigeringslistan klickar du på Microsoft Entra-ID och klickar sedan på Egenskaper.

3. Ställ in Åtkomsthantering för Azure-resurser för att växla tillbaka till Nej. Eftersom det här är en inställning per användare måste du vara inloggad som samma användare som användes för att öka åtkomsten.

   Om du försöker ta bort rolltilldelningen Administratör för användaråtkomst i fönstret Åtkomstkontroll (IAM) visas följande meddelande. Om du vill ta bort rolltilldelningen måste du ange växlingsknappen till Nej eller använda Azure PowerShell, Azure CLI eller REST-API:et.

   

4. Logga ut som global administratör.

   Om du använder Privileged Identity Management inaktiverar du rolltilldelningen Global administratör.

   Kommentar

   Om du använder Privileged Identity Management ändras inte åtkomsthanteringen för Azure-resurser till Nej om du inaktiverar rolltilldelningen. För att upprätthålla minst privilegierad åtkomst rekommenderar vi att du ställer in den här växlingsknappen på Nej innan du inaktiverar rolltilldelningen.

PowerShell

Steg 1: Utöka åtkomsten för en global administratör

Använd Azure-portalen eller REST-API:et för att öka åtkomsten för en global administratör.

Steg 2: Lista rolltilldelning i rotomfång (/)

När du har förhöjd åtkomst använder du kommandot Get-AzRoleAssignment för att visa rolltilldelningen Administratör för användaråtkomst för en användare i rotomfånget ()./

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Steg 3: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

1. Logga in som en användare som kan ta bort förhöjd åtkomst. Det kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

2. Använd kommandot Remove-AzRoleAssignment för att ta bort rolltilldelningen Administratör för användaråtkomst.

   Remove-AzRoleAssignment -SignInName <username@example.com> `
     -RoleDefinitionName "User Access Administrator" -Scope "/"
   

Azure CLI

Steg 1: Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att öka åtkomsten för en global administratör med hjälp av Azure CLI.

1. Använd kommandot az rest för att anropa elevateAccess slutpunkten, vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

   az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
   

2. Gör de ändringar du behöver göra vid förhöjd åtkomst.

   Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av Azure CLI.

3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Steg 2: Lista rolltilldelning i rotomfång (/)

När du har förhöjd åtkomst använder du kommandot az role assignment (az role assignment list) för att visa rolltilldelningsadministratören för en användare i rotomfånget ()./

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Steg 3: Ta bort förhöjd åtkomst

Följ dessa steg om du vill ta bort rolltilldelningen Administratör för användaråtkomst för dig själv eller en annan användare i rotomfånget (/).

1. Logga in som en användare som kan ta bort förhöjd åtkomst. Det kan vara samma användare som användes för att höja åtkomsten eller en annan global administratör med förhöjd åtkomst i rotomfånget.

2. Använd kommandot az role assignment delete för att ta bort rolltilldelningen Administratör för användaråtkomst.

   az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
   

REST-API

Förutsättningar

Du måste använda följande versioner:

• 2015-07-01 eller senare för att lista och ta bort rolltilldelningar
• 2016-07-01 eller senare för att höja åtkomsten
• 2018-07-01-preview eller senare för att lista neka tilldelningar

Mer information finns i API-versioner av Azure RBAC REST API:er.

Steg 1: Utöka åtkomsten för en global administratör

Använd följande grundläggande steg för att öka åtkomsten för en global administratör med hjälp av REST-API:et.

1. Med HJÄLP av REST anropar elevateAccessdu , vilket ger dig rollen Administratör för användaråtkomst i rotomfånget (/).

   POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
   

2. Gör de ändringar du behöver göra vid förhöjd åtkomst.

   Information om hur du tilldelar roller finns i Tilldela Azure-roller med hjälp av REST-API:et.

3. Utför stegen i ett senare avsnitt för att ta bort din förhöjda åtkomst.

Steg 2: Lista rolltilldelningar i rotomfånget (/)

När du har förhöjd åtkomst kan du lista alla rolltilldelningar för en användare i rotomfånget (/).

• Anropa rolltilldelningar – lista för omfång där {objectIdOfUser} är objekt-ID för den användare vars rolltilldelningar du vill hämta.

  GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'
  

Steg 3: Lista neka tilldelningar i rotomfånget (/)

När du har förhöjd åtkomst kan du visa en lista över alla nekandetilldelningar för en användare i rotomfånget (/).

• Anropa Neka tilldelningar – lista för omfång där {objectIdOfUser} är objekt-ID för den användare vars neka tilldelningar du vill hämta.

  GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'
  

Steg 4: Ta bort förhöjd åtkomst

När du anropar elevateAccessskapar du en rolltilldelning åt dig själv, så om du vill återkalla dessa behörigheter måste du ta bort rolltilldelningen Administratör för användaråtkomst åt dig själv i rotomfånget (/).

1. Anropa rolldefinitioner – Ta reda på var roleName är lika med administratör för användaråtkomst för att fastställa namn-ID för rollen Administratör för användaråtkomst.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'
   

   {
     "value": [
       {
         "properties": {
     "roleName": "User Access Administrator",
     "type": "BuiltInRole",
     "description": "Lets you manage user access to Azure resources.",
     "assignableScopes": [
       "/"
     ],
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Authorization/*",
           "Microsoft.Support/*"
         ],
         "notActions": []
       }
     ],
     "createdOn": "0001-01-01T08:00:00.0000000Z",
     "updatedOn": "2016-05-31T23:14:04.6964687Z",
     "createdBy": null,
     "updatedBy": null
         },
         "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
         "type": "Microsoft.Authorization/roleDefinitions",
         "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
       }
     ],
     "nextLink": null
   }
   

   Spara ID:t från parametern name i det här fallet 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

2. Du måste också lista rolltilldelningen för katalogadministratören i katalogomfånget. Visa en lista över alla tilldelningar i katalogomfånget principalId för katalogadministratören som gjorde upphöjt åtkomstanrop. Då visas alla tilldelningar i katalogen för objectid.

   GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
   

   Kommentar

   En katalogadministratör bör inte ha många tilldelningar. Om den föregående frågan returnerar för många tilldelningar kan du även fråga efter alla tilldelningar bara på katalogomfångsnivå och sedan filtrera resultatet: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

3. Föregående anrop returnerar en lista över rolltilldelningar. Leta reda på rolltilldelningen där omfånget finns "/" och roleDefinitionId slutar med rollnamns-ID:t som du hittade i steg 1 och principalId matchar katalogadministratörens objectId.

   Exempelrolltilldelning:

   {
     "value": [
       {
         "properties": {
           "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
           "principalId": "{objectID}",
           "scope": "/",
           "createdOn": "2016-08-17T19:21:16.3422480Z",
           "updatedOn": "2016-08-17T19:21:16.3422480Z",
           "createdBy": "22222222-2222-2222-2222-222222222222",
           "updatedBy": "22222222-2222-2222-2222-222222222222"
         },
         "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
         "type": "Microsoft.Authorization/roleAssignments",
         "name": "11111111-1111-1111-1111-111111111111"
       }
     ],
     "nextLink": null
   }
   

   Spara återigen ID:t från parametern name , i det här fallet 1111111-1111-1111-1111-1111111111111.

4. Slutligen använder du rolltilldelnings-ID:t för att ta bort tilldelningen som lagts till av elevateAccess:

   DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01
   

Visa utökade åtkomstloggposter i katalogaktivitetsloggarna

När åtkomsten är förhöjd läggs en post till i loggarna. Som global administratör i Microsoft Entra-ID kanske du vill kontrollera när åtkomsten utökades och vem som gjorde det. Utökade åtkomstloggposter visas inte i standardaktivitetsloggarna, utan visas i stället i katalogaktivitetsloggarna. I det här avsnittet beskrivs olika sätt att visa poster för upphöjda åtkomstloggar.

Visa elevate access log-poster med hjälp av Azure-portalen

1. Logga in på Azure-portalen som global administratör.

2. Öppna aktivitetsloggen Övervaka>.

3. Ändra aktivitetslistan till Katalogaktivitet.

4. Sök efter följande åtgärd, vilket betyder åtgärden för att höja åtkomsten.

   Assigns the caller to User Access Administrator role

   

Visa utökade åtkomstloggposter med Hjälp av Azure CLI

1. Använd kommandot az login för att logga in som global administratör.

2. Använd kommandot az rest för att göra följande anrop där du måste filtrera efter ett datum som visas med exempeltidsstämpeln och ange ett filnamn där du vill att loggarna ska lagras.

   Anropar url ett API för att hämta loggarna i Microsoft.Insights. Utdata sparas i filen.

   az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
   

3. I utdatafilen söker elevateAccessdu efter .

   Loggen liknar följande där du kan se tidsstämpeln för när åtgärden inträffade och vem som anropade den.

     "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
     "subscriptionId": "",
     "tenantId": "33333333-3333-3333-3333-333333333333"
   },
   {
     "authorization": {
       "action": "Microsoft.Authorization/elevateAccess/action",
       "scope": "/providers/Microsoft.Authorization"
     },
     "caller": "user@example.com",
     "category": {
       "localizedValue": "Administrative",
       "value": "Administrative"
     },
   

Delegera åtkomst till en grupp för att visa upphöjda åtkomstloggposter med hjälp av Azure CLI

Om du vill kunna hämta poster för upphöjt åtkomstlogg med jämna mellanrum kan du delegera åtkomst till en grupp och sedan använda Azure CLI.

1. Öppna Microsoft Entra-ID-grupper>.

2. Skapa en ny säkerhetsgrupp och anteckna gruppobjektets ID.

3. Använd kommandot az login för att logga in som global administratör.

4. Använd kommandot az role assignment create för att tilldela rollen Läsare till gruppen som bara kan läsa loggar på katalognivå, som finns på Microsoft/Insights.

   az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
   

5. Lägg till en användare som läser loggar till den tidigare skapade gruppen.

En användare i gruppen kan nu regelbundet köra kommandot az rest för att visa upphöjda åtkomstloggposter.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Nästa steg

• Förstå de olika rollerna
• Tilldela Azure-roller med hjälp av REST-API:et