提升访问权限以管理所有 Azure 订阅和管理组

Microsoft Entra ID 中的全局管理员不一定对目录中的所有订阅和管理组拥有访问权限。 本文介绍如何自我提升对所有订阅和管理组的访问权限。

注意

有关查看或删除个人数据的信息,请参阅 GDPR 的 Azure 数据使用者请求。 有关 GDPR 的详细信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

为何需要提升访问权限?

全局管理员有时可能需要执行以下操作:

  • 在用户失去访问权限时重新获取对 Azure 订阅或管理组的访问权限
  • 授予其他用户或自己对 Azure 订阅或管理组的访问权限
  • 查看组织中的所有 Azure 订阅或管理组
  • 允许自动化应用(例如发票或审计应用)访问所有 Azure 订阅或管理组

提升访问权限的工作原理是什么?

Microsoft Entra ID 和 Azure 资源彼此独立保护。 也就是说,Microsoft Entra 角色分配不授予对 Azure 资源的访问权限,Azure 角色分配也不授予对 Microsoft Entra ID 的访问权限。 但是,Microsoft Entra ID 中的全局管理员可为自己分配对目录中所有 Azure 订阅和管理组的访问权限。 如果你无权访问 Azure 订阅资源(如虚拟机或存储帐户),并且想使用全局管理员特权来获取这些资源的访问权限,则请使用此功能。

提升访问权限时,将分配到 Azure 中根范围 (/) 的用户访问管理员角色。 此角色可查看所有资源,并且可用于分配目录中任何订阅或管理组中的访问权限。 可以使用 Azure PowerShell、Azure CLI 或 REST API 删除“用户访问管理员”角色分配。

完成需在根范围执行的更改后,应删除此提升的访问权限。

提升访问权限

在根范围内执行步骤

步骤 1:提升全局管理员的访问权限

请按照这些步骤,使用 Azure 门户为全局管理员提升访问权限。

  1. 以全局管理员的身份登录到 Azure 门户

    如果使用 Microsoft Entra Privileged Identity Management,请激活全局管理员角色分配

  2. 打开 Microsoft Entra ID

  3. 管理下,选择属性

    选择 Microsoft Entra 属性的“属性”- 屏幕截图

  4. 在“Azure 资源的访问管理”下,将开关设置为“是”

    Azure 资源的访问管理 - 屏幕截图

    将开关设为“是”时,你将分配到 Azure RBAC 中根范围 (/) 的“用户访问管理员”角色。 这将授予你在与此 Microsoft Entra 目录关联的所有 Azure 订阅和管理组中分配角色的权限。 此开关仅适用于分配到 Microsoft Entra ID 中全局管理员角色的用户。

    将开关设为“否”时,会从用户帐户中删除 Azure RBAC 中的用户访问管理员角色。 将无法再分配在与此 Microsoft Entra 目录关联的所有 Azure 订阅和管理组中的角色。 只能查看和管理已获取访问权限的 Azure 订阅和管理组。

    注意

    如果正在使用 Privileged Identity Management,则停用角色分配不会将“Azure 资源的访问管理”更改为“否”。 为了保持最小特权访问,我们建议你在停用角色分配之前,将此开关设置为“否”

  5. 单击“保存”,保存设置。

    此设置不是全局属性,仅适用于当前已登录的用户。 无法提升所有全局管理员角色成员的访问权限。

  6. 注销然后重新登录可以刷新访问权限。

    现在,你应该有权访问目录中的所有订阅和管理组。 在查看“访问控制(IAM)”窗格时,你会注意到,系统为你分配了根范围的“用户访问管理员”角色。

    根范围的订阅角色分配 - 屏幕截图

  7. 以提升的访问权限做出所需的更改。

    有关分配角色的信息,请参阅使用 Azure 门户分配 Azure 角色。 如果使用 Privileged Identity Management,请参阅发现要管理的 Azure 资源分配 Azure 资源角色

  8. 执行以下部分中的步骤以删除提升的访问权限。

步骤 2:移除已提升的访问权限

若要删除根范围 (/) 的“用户访问管理员”角色分配,请遵循以下步骤。

  1. 以提升访问权限时使用的用户身份登录。

  2. 在导航列表中,单击“Microsoft Entra ID”,然后单击“属性”

  3. 将“Azure 资源的访问管理”切换回“否”。 由于此设置特定于用户,因此,必须以提升访问权限时所用的同一用户登录。

    如果尝试删除“访问控制(IAM)”窗格上的“用户访问管理员”角色分配,将看到以下消息。 若要删除角色分配,必须切换回“否”,或者使用 Azure PowerShell、Azure CLI 或 REST API

    删除根范围的角色分配

  4. 以全局管理员身份注销。

    如果使用 Privileged Identity Management,请停用全局管理员角色分配。

    注意

    如果正在使用 Privileged Identity Management,则停用角色分配不会将“Azure 资源的访问管理”更改为“否”。 为了保持最小特权访问,我们建议你在停用角色分配之前,将此开关设置为“否”

在目录活动日志中查看提升访问权限日志条目

当访问权限提升时,会将一个条目添加到日志中。 作为 Microsoft Entra ID 中的全局管理员,你可能想要检查访问权限何时已提升,以及由谁提升。 提升访问权限日志条目不会显示在标准活动日志中,而是显示在目录活动日志中。 本部分介绍查看提升访问权限日志条目的不同方式。

使用 Azure 门户查看提升访问权限日志条目

  1. 以全局管理员的身份登录到 Azure 门户

  2. 打开“监视”>“活动日志”。

  3. 将“活动”列表更改为“目录活动”。

  4. 搜索以下表示提升访问权限动作的操作。

    Assigns the caller to User Access Administrator role

    显示“监视”中的目录活动日志的屏幕截图。

使用 Azure CLI 查看提升访问权限日志条目

  1. 使用 az login 命令以全局管理员身份登录。

  2. 使用 az rest 命令进行以下调用,你将必须按示例时间戳所示的日期进行筛选,并指定用于存储日志的文件名。

    url 调用 API 来检索 Microsoft.Insights 中的日志。 输出将保存到你指定的文件中。

    az rest --url "https://management.chinacloudapi.cn/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
    
  3. 在输出文件中,搜索 elevateAccess

    日志将类似于以下内容,可以在其中查看操作发生时间的时间戳和调用者。

      "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
      "subscriptionId": "",
      "tenantId": "33333333-3333-3333-3333-333333333333"
    },
    {
      "authorization": {
        "action": "Microsoft.Authorization/elevateAccess/action",
        "scope": "/providers/Microsoft.Authorization"
      },
      "caller": "user@example.com",
      "category": {
        "localizedValue": "Administrative",
        "value": "Administrative"
      },
    

使用 Azure CLI 向组委托提升访问权限日志条目的查看访问权限

如果你希望能够定期获取提升访问权限日志条目,可以向组委托访问权限,然后使用 Azure CLI。

  1. 打开“Microsoft Entra ID”>“组”

  2. 创建新的安全组,并记下组对象 ID。

  3. 使用 az login 命令以全局管理员身份登录。

  4. 使用 az role assign create 命令将读者角色分配给只能在目录级别读取日志的组,这些日志位于 Microsoft/Insights

    az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
    
  5. 将读取日志的用户添加到之前创建的组中。

该组中的用户现在可以定期运行 az rest 命令来查看提升访问权限日志条目。

az rest --url "https://management.chinacloudapi.cn/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

后续步骤