在 Privileged Identity Management 中查看 Azure 资源角色的活动和审核历史记录

使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM),你可以查看组织中的 Azure 资源角色的活动、激活和审核历史记录。 这些资源包括订阅、资源组甚至虚拟机。 如果 Microsoft Entra 管理中心中的任何资源利用了 Azure 的基于角色的访问控制 (RBAC) 功能,则可以利用 Privileged Identity Management 中的安全和生命周期管理功能。 如果审核数据的保留时间需要长于默认保留期,可以使用 Azure Monitor 将其路由到 Azure 存储帐户。 有关详细信息,请参阅将 Microsoft Entra 日志存档到 Azure 存储帐户

注意

如果你的组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。

查看活动和激活

若要查看特定用户在各种资源中执行的操作,可以查看与给定激活时段关联的 Azure 资源活动。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其活动和激活情况的资源。

  4. 选择“角色”或“成员”

  5. 选择用户。

    你将在 Azure 资源中按日期查看用户操作的摘要。 其中还显示了同一时间段内的最近角色激活。

    User details with resource activity summary and role activations

  6. 选择特定的角色激活活动,以查看用户的详细信息以及该用户处于活动状态时发生的相应 Azure 资源活动。

    Role activation selected and activity details

导出具有子级的角色分配

你可能具有合规性要求,必须向审核者提供角色分配的完整列表。 可以使用 Privileged Identity Management 查询特定资源上的角色分配,这包括针对所有子资源的角色分配。 以前,管理员很难获取某个订阅的角色分配完整列表,他们必须导出每个特定资源的角色分配。 使用 Privileged Identity Management,可以查询某个订阅中所有处于活动状态和符合条件的角色分配,包括针对所有资源组和资源的角色分配。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 单击要为其导出角色分配情况的资源,例如订阅。

  4. 选择“分配” 。

  5. 单击“导出”以打开“导出成员身份”窗格。

    Export membership pane to export all members

  6. 选择“导出所有成员”,从而以 CSV 文件的形式导出所有角色分配信息。

    Exported role assignments in CSV file as display in Excel

查看资源审核历史记录

资源审核提供资源的所有角色活动的视图。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“资源审核” 。

  5. 使用预定义的日期或自定义的范围筛选历史记录。

    Resource audit list with filters

  6. 对于“审核类型”,选择“激活(已分配 + 已激活)”

    Resource audit list filtered by Activate audit typeResource audit list that is filtered by Activate audit type

  7. 在“操作”下,选择某个用户的“(活动)”可查看该用户在 Azure 资源中的活动详细信息。

    User activity details for a particular action

查看我的审核

使用“我的审核”,可以查看你的个人角色活动。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“我的审核” 。

  5. 可以使用预定义的日期或自定义范围筛选历史记录。

    Audit list for the current user

注意

访问审核历史记录需要“全局管理员”或“特权角色管理员”角色。

获取审批事件的原因、审批者和票证编号

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。

  3. 使用“服务” 筛选器以仅显示特权身份管理服务的审核事件。 在“审核日志” 页上,你可以:

    • 请在“状态原因” 列中查看审核事件的原因。
    • 在“将成员添加到角色请求已批准”事件的“发起人(参与者)” 列中查看审批者。

    Filter the audit log for the PIM service

  4. 选择一个审核日志事件,以在“详细信息”窗格的“活动”选项卡上查看票证编号。

    Check the ticket number for the audit event

  5. 可以在审核事件的“详细信息”窗格的“目标”选项卡上查看请求者(激活角色的人员)。 Azure 资源角色有三种目标类型:

    • 角色( 类型 = 角色)
    • 请求者 (Type = Other)
    • 审批者 (Type = User)

    Check the target type

通常,审批事件正上方的日志事件是“将成员添加到角色已完成”事件,其中,“发起人(参与者)”是请求者。 大多数情况下,你无需从审核角度查找审批请求中的请求者。

后续步骤