在 Privileged Identity Management 中查看 Azure 资源角色的活动和审核历史记录

  • 项目

使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM),你可以查看组织中的 Azure 资源角色的活动、激活和审核历史记录。 这些资源包括订阅、资源组甚至虚拟机。 如果 Microsoft Entra 管理中心中的任何资源利用了 Azure 的基于角色的访问控制 (RBAC) 功能,则可以利用 Privileged Identity Management 中的安全和生命周期管理功能。 如果审核数据的保留时间需要长于默认保留期,可以使用 Azure Monitor 将其路由到 Azure 存储帐户。 有关详细信息,请参阅将 Microsoft Entra 日志存档到 Azure 存储帐户

注意

如果你的组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。

查看活动和激活

若要查看特定用户在各种资源中执行的操作,可以查看与给定激活时段关联的 Azure 资源活动。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其活动和激活情况的资源。

  4. 选择“角色”或“成员”

  5. 选择用户。

    你将在 Azure 资源中按日期查看用户操作的摘要。 其中还显示了同一时间段内的最近角色激活。

    包含资源活动摘要和角色激活的用户详细信息的屏幕截图。

  6. 选择特定的角色激活活动,以查看用户的详细信息以及该用户处于活动状态时发生的相应 Azure 资源活动。

    所选角色激活以及活动详细信息的屏幕截图。

导出具有子级的角色分配

你可能具有合规性要求,必须向审核者提供角色分配的完整列表。 可以使用 Privileged Identity Management 查询特定资源上的角色分配,这包括针对所有子资源的角色分配。 以前,管理员很难获取某个订阅的角色分配完整列表,他们必须导出每个特定资源的角色分配。 使用 Privileged Identity Management,可以查询某个订阅中所有处于活动状态和符合条件的角色分配,包括针对所有资源组和资源的角色分配。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 单击要为其导出角色分配情况的资源,例如订阅。

  4. 选择“分配” 。

  5. 单击“导出”以打开“导出成员身份”窗格。

    显示用于导出所有成员的“导出成员身份”窗格的屏幕截图。

  6. 选择“导出所有成员”,从而以 CSV 文件的形式导出所有角色分配信息。

    如 Excel 中所示显示 CSV 文件中导出的角色分配的屏幕截图。

查看资源审核历史记录

资源审核提供资源的所有角色活动的视图。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“资源审核” 。

  5. 使用预定义的日期或自定义的范围筛选历史记录。

    显示带筛选器的资源审核列的屏幕截图。

  6. 对于“审核类型”,选择“激活(已分配 + 已激活)”

    显示按“激活”审核类型筛选的资源审核列表的屏幕截图。

  7. 在“操作”下,为一个用户选择(活动),以查看该用户在 Azure 资源中的活动详情。

    显示特定操作的用户活动详细信息的屏幕截图。

查看我的审核

使用“我的审核”,可以查看你的个人角色活动。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

  3. 选择要查看其审核历史记录的资源。

  4. 选择“我的审核” 。

  5. 可以使用预定义的日期或自定义范围筛选历史记录。

    显示当前用户的审核列表的屏幕截图。

注意

访问审核历史记录需要“全局管理员”或“特权角色管理员”角色。

获取审批事件的原因、审批者和票证编号

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。

  3. 使用“服务” 筛选器以仅显示特权身份管理服务的审核事件。 在“审核日志” 页上,你可以:

    • 请在“状态原因” 列中查看审核事件的原因。
    • 在“将成员添加到角色请求已批准”事件的“发起人(参与者)” 列中查看审批者。

    显示筛选 PIM 服务的审核日志的屏幕截图。

  4. 选择一个审核日志事件,以在“详细信息”窗格的“活动”选项卡上查看票证编号。

    显示审核事件的票证编号的屏幕截图。

  5. 可以在审核事件的“详细信息”窗格的“目标”选项卡上查看请求者(激活角色的人员)。 Azure 资源角色有三种目标类型:

    • 角色( 类型 = 角色)
    • 请求者 (Type = Other)
    • 审批者 (Type = User)

    显示如何检查目标类型的屏幕截图。

通常,审批事件正上方的日志事件是“将成员添加到角色已完成”事件,其中,“发起人(参与者)”是请求者。 大多数情况下,你无需从审核角度查找审批请求中的请求者。

后续步骤