概述
Microsoft Entra ID中的Privileged Identity Management(PIM)可用于查看组织中Azure资源角色的活动、激活和审核历史记录。 这些资源包括订阅、资源组甚至虚拟机。 使用Azure基于角色的访问控制功能Microsoft Entra 管理中心中的任何资源都可以利用Privileged Identity Management中的安全性和生命周期管理功能。 如果要将审核数据保留时间超过默认保留期,可以使用Azure Monitor将其路由到Azure存储帐户。 有关详细信息,请参阅 将 Microsoft Entra 日志归档到 Azure 存储帐户。
注意
如果组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则不会在此处显示该服务提供商授权的角色分配。
查看活动和激活
若要查看特定用户在各种资源中执行的操作,请查看与其激活周期关联的Azure资源活动。
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 管理>特权身份管理>Azure 资源。
选择要查看其活动和激活情况的资源。
选择“角色”或“成员”。
选择用户。
按日期查看Azure资源中用户操作的摘要。 其中还显示了在同一时间段内的最近角色激活情况。
选择特定的角色激活以查看该用户处于活动状态时发生的详细信息和相应的Azure资源活动。
导出具有子级的角色分配
你可能有合规性要求,你必须向审核员提供角色分配的完整列表。 Privileged Identity Management使您能够查询特定资源的角色分配,包括所有子资源的角色分配。 以前,管理员很难获取某个订阅的角色分配完整列表,他们必须导出每个特定资源的角色分配。 使用Privileged Identity Management,可以查询订阅中的所有活动角色和符合条件的角色分配,包括所有资源组和资源的角色分配。
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 管理>特权身份管理>Azure 资源。
选择您想要导出角色分配的资源,例如订阅。
选择“任务”
单击“导出”以打开“导出成员身份”窗格。
选择“导出所有成员”,从而以 CSV 文件的形式导出所有角色分配信息。
查看资源审核历史记录
资源审核提供关于资源的所有角色活动的概览。
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 管理>特权身份管理>Azure 资源。
选择要查看其审核历史记录的资源。
选择“资源审核” 。
使用预定义的日期或自定义的范围筛选历史记录。
对于审核类型,选择激活(已分配 + 已激活)。
在 Action 下,选择 (activity),以便用户在Azure资源中查看该用户的活动详细信息。
查看我的审核
使用“我的审核功能”,你可以查看个人角色活动。
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 管理>特权身份管理>Azure 资源。
选择要查看其审核历史记录的资源。
选择“我的审核” 。
使用预定义的日期或自定义的范围筛选历史记录。
注意
要访问审核历史记录,至少需要“特权角色管理员”角色。
获取审批事件的原因、审批者和票证编号
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>审计日志。
使用 Service 筛选器仅显示Privileged Identity Management服务的审核事件。 在“审核日志” 页上,你可以:
- 请在“状态原因” 列中查看审核事件的原因。
- 在“将成员添加到角色请求已批准”事件的“发起人(参与者)” 列中查看审批者。
选择一个审核日志事件,以在“详细信息”窗格的“活动”选项卡上查看票证编号。
可以在审核事件的“详细信息”窗格的“目标”选项卡上查看请求者(激活角色的人员)。 Azure资源角色有三种目标类型:
- 角色(类型 = 角色)
- 请求者 (Type = Other)
- 审批者(类型 = 用户)
通常,审批事件正上方的日志事件是“将成员添加到角色已完成”事件,其中,“发起人(参与者)”是请求者。 大多数情况下,你无需从审核角度查找审批请求中的请求者。