Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme

Makale
10/05/2024

Microsoft Entra ID'de (Azure AD) Genel Yönetici olarak dizininizdeki aboneliklerin ve yönetim gruplarının tümüne erişiminiz olmayabilir. Bu makalede, erişiminizi tüm aboneliklere ve yönetim gruplarına yükseltmenin yolları açıklanmaktadır.

Not

Kişisel verileri görüntüleme veya silme hakkında bilgi için bkz. GDPR için Genel Veri Sahibi İstekleri, GDPR için Azure Veri Sahibi İstekleri veya belirli alanınıza ve gereksinimlerinize bağlı olarak GDPR için Windows Veri Sahibi İstekleri. GDPR hakkında daha fazla bilgi için Microsoft Güven Merkezi'nin GDPR bölümüne ve Hizmet Güveni portalının GDPR bölümüne bakın.

Erişiminizi neden yükseltmeniz gerekir?

Genel Yöneticiyseniz, bazı durumlarda aşağıdaki eylemleri yapmak isteyebilirsiniz:

Kullanıcı erişimi kaybettiğinde Azure aboneliğine veya yönetim grubuna yeniden erişim kazanma
Başka bir kullanıcıya veya kendisine Azure aboneliği veya yönetim grubu üzerinde erişim verme
Bir kuruluştaki tüm Azure aboneliklerini veya yönetim gruplarını görme
Otomasyon uygulamasının (faturalama veya denetim uygulaması gibi) tüm Azure aboneliklerine veya yönetim gruplarına erişmesine izin verme

Yükseltilmiş erişim nasıl çalışır?

Microsoft Entra ID ile Azure kaynaklarının güvenliği birbirinden bağımsız olarak sağlanır. Diğer bir deyişle Microsoft Entra rol atamaları Azure kaynaklarına erişim vermez ve Azure rol atamaları da Microsoft Entra ID'ye erişim vermez. Bununla birlikte, Microsoft Entra ID'de Genel Yöneticiyseniz, kendinize dizininizdeki tüm Azure abonelikleri ve yönetim gruplarına erişim atayabilirsiniz. Sanal makineler veya depolama hesapları gibi Azure abonelik kaynaklarına erişiminiz yoksa ve söz konusu kaynaklara erişim kazanmak için Genel Yönetici ayrıcalığınızı kullanmak istiyorsanız bu özelliği kullanın.

Erişiminizi yükselttiğinizde, Azure'da kök kapsamda (/ ) Kullanıcı Erişimi Yöneticisi rolü atanır. Bu sayede tüm kaynakları görüntüleyebilir ve dizindeki tüm aboneliklere veya yönetim gruplarına erişim atayabilirsiniz. Kullanıcı Erişimi Yöneticisi rol atamaları Azure PowerShell, Azure CLI veya REST API kullanarak kaldırılabilir.

Kök kapsamda yapmanız gereken değişiklikleri yaptıktan sonra bu yükseltilmiş erişim kaldırılmalıdır.

Erişimi yükseltme

Kök kapsamda adımları gerçekleştirme

1. Adım: Genel Yönetici için erişimi yükseltme

Azure portalını kullanarak Genel Yönetici erişimini yükseltmek için bu adımları izleyin.

Azure portalında Genel Yönetici olarak oturum açın.

Microsoft Entra Privileged Identity Management kullanıyorsanız Genel Yönetici rol atamanızı etkinleştirin.
Microsoft Entra ID'yi açın.
Yönet'in altında Özellikler'i seçin.
Azure kaynakları için erişim yönetimi'nin altında iki durumlu düğmeyi Evet olarak ayarlayın.

Geçiş düğmesini Evet olarak ayarladığınızda, azure RBAC'de kök kapsamda (/) Kullanıcı Erişimi Yöneticisi rolü atanır. Bu, size bu Microsoft Entra diziniyle ilişkili tüm Azure aboneliklerinde ve yönetim gruplarında rol atama izni verir. Bu iki durumlu düğme yalnızca Microsoft Entra Id'de Genel Yönetici rolü atanmış kullanıcılar tarafından kullanılabilir.

İki durumlu düğmeyi Hayır olarak ayarladığınızda, Azure RBAC'deki Kullanıcı Erişimi Yöneticisi rolü kullanıcı hesabınızdan kaldırılır. Artık bu Microsoft Entra diziniyle ilişkili tüm Azure aboneliklerinde ve yönetim gruplarında rol atayasınız. Yalnızca size erişim verilen Azure aboneliklerini ve yönetim gruplarını görüntüleyebilir ve yönetebilirsiniz.

Not

Privileged Identity Management kullanıyorsanız rol atamanızı devre dışı bırakmak, Azure kaynakları için Erişim yönetimi düğmesini Hayır olarak değiştirmez. En az ayrıcalıklı erişimi korumak için rol atamanızı devre dışı bırakmadan önce bu iki durumlu düğmeyi Hayır olarak ayarlamanızı öneririz.
Ayarınızı kaydetmek için Kaydet'e tıklayın.

Bu ayar genel bir özellik değildir ve yalnızca şu anda oturum açmış olan kullanıcı için geçerlidir. Genel Yönetici rolünün tüm üyeleri için erişimi yükseltemezsiniz.
Erişiminizi yenilemek için oturumu kapatın ve yeniden oturum açın.

Artık dizininizdeki tüm aboneliklere ve yönetim gruplarına erişiminiz olmalıdır. Erişim denetimi (IAM) bölmesini görüntülediğinizde, kök kapsamda Size Kullanıcı Erişimi Yöneticisi rolü atandığını fark edersiniz.
Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

Rol atama hakkında bilgi için bkz . Azure portalını kullanarak Azure rolleri atama. Privileged Identity Management kullanıyorsanız bkz . Yönetmek için Azure kaynaklarını bulma veya Azure kaynak rollerini atama.
Yükseltilmiş erişiminizi kaldırmak için aşağıdaki bölümdeki adımları gerçekleştirin.

2. Adım: Yükseltilmiş erişimi kaldırma

Kök kapsamda/ ( ) Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmak için aşağıdaki adımları izleyin.

Erişimi yükseltmek için kullanılan kullanıcıyla oturum açın.
Gezinti listesinde Microsoft Entra Id'ye ve ardından Özellikler'e tıklayın.
Azure kaynakları için Erişim yönetimi geçişini yeniden Hayır olarak ayarlayın. Bu kullanıcı başına bir ayar olduğundan, erişimi yükseltmek için kullanılan kullanıcıyla aynı kullanıcıyla oturum açmanız gerekir.

Erişim denetimi (IAM) bölmesinde Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmaya çalışırsanız aşağıdaki iletiyi görürsünüz. Rol atamasını kaldırmak için iki durumlu düğmeyi Hayır olarak ayarlamanız veya Azure PowerShell, Azure CLI veya REST API'yi kullanmanız gerekir.
Genel Yönetici olarak oturumu kapatın.

Privileged Identity Management kullanıyorsanız Genel Yönetici rol atamanızı devre dışı bırakın.

Not

Privileged Identity Management kullanıyorsanız rol atamanızı devre dışı bırakmak, Azure kaynakları için Erişim yönetimi düğmesini Hayır olarak değiştirmez. En az ayrıcalıklı erişimi korumak için rol atamanızı devre dışı bırakmadan önce bu iki durumlu düğmeyi Hayır olarak ayarlamanızı öneririz.

1. Adım: Genel Yönetici için erişimi yükseltme

Genel Yönetici erişimini yükseltmek için Azure portalını veya REST API'sini kullanın.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, kök kapsamdaki/ ( ) bir kullanıcının Kullanıcı Erişimi Yöneticisi rol atamasını listelemek için Get-AzRoleAssignment komutunu kullanın.

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

3. Adım: Yükseltilmiş erişimi kaldırma

Kendiniz veya kök kapsamda ()/ başka bir kullanıcı için Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmak için aşağıdaki adımları izleyin.

Yükseltilmiş erişimi kaldırabilen bir kullanıcı olarak oturum açın. Bu, erişimi yükseltmek için kullanılan kullanıcı veya kök kapsamda yükseltilmiş erişime sahip başka bir Genel Yönetici olabilir.

Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmak için Remove-AzRoleAssignment komutunu kullanın.

Remove-AzRoleAssignment -SignInName <username@example.com> `
  -RoleDefinitionName "User Access Administrator" -Scope "/"

1. Adım: Genel Yönetici için erişimi yükseltme

Azure CLI kullanarak Genel Yönetici erişimini yükseltmek için aşağıdaki temel adımları kullanın.

Uç noktayı çağırmak elevateAccess için az rest komutunu kullanın. Bu komut size kök kapsamda (/ ) Kullanıcı Erişimi Yöneticisi rolü verir.
```
az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
```
Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

Rol atama hakkında bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.
Yükseltilmiş erişiminizi kaldırmak için sonraki bir bölümde yer alan adımları gerçekleştirin.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, kök kapsamdaki/ ( ) bir kullanıcının Kullanıcı Erişimi Yöneticisi rol atamasını listelemek için az role assignment list komutunu kullanın.

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

3. Adım: Yükseltilmiş erişimi kaldırma

Kendiniz veya kök kapsamda ()/ başka bir kullanıcı için Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmak için aşağıdaki adımları izleyin.

Yükseltilmiş erişimi kaldırabilen bir kullanıcı olarak oturum açın. Bu, erişimi yükseltmek için kullanılan kullanıcı veya kök kapsamda yükseltilmiş erişime sahip başka bir Genel Yönetici olabilir.
Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmak için az role assignment delete komutunu kullanın.
```
az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
```

Önkoşullar

Aşağıdaki sürümleri kullanmanız gerekir:

2015-07-01 veya daha sonra rol atamalarını listelemek ve kaldırmak için
2016-07-01 veya daha sonra erişimi yükseltmek için
2018-07-01-preview veya daha sonra reddetme atamalarını listelemek için

Daha fazla bilgi için bk . Azure RBAC REST API'lerinin API sürümleri.

1. Adım: Genel Yönetici için erişimi yükseltme

REST API kullanarak Genel Yönetici erişimini yükseltmek için aşağıdaki temel adımları kullanın.

REST kullanarak, kök kapsamda/ ( ) Kullanıcı Erişimi Yöneticisi rolü veren öğesini çağırınelevateAccess.
```
POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
```
Yükseltilmiş erişimde yapmanız gereken değişiklikleri yapın.

Rol atama hakkında bilgi için bkz . REST API kullanarak Azure rolleri atama.
Yükseltilmiş erişiminizi kaldırmak için sonraki bir bölümde yer alan adımları gerçekleştirin.

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

Yükseltilmiş erişiminiz olduğunda, bir kullanıcının tüm rol atamalarını kök kapsamda (/ ) listeleyebilirsiniz.

Rol Atamalarını Çağırma - Rol atamalarını almak istediğiniz kullanıcının nesne kimliği olan {objectIdOfUser} Kapsam Listesi.

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'

3. Adım: Kök kapsamda reddetme atamalarını listeleme (/)

Yükseltilmiş erişime sahip olduktan sonra, bir kullanıcının tüm reddetme atamalarını kök kapsamda (/ ) listeleyebilirsiniz.

Reddetme Atamalarını Çağır - Kapsam Listesi Burada {objectIdOfUser} reddetme atamalarını almak istediğiniz kullanıcının nesne kimliğidir.

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'

4. Adım: Yükseltilmiş erişimi kaldırma

çağırdığınızda elevateAccess, kendiniz için bir rol ataması oluşturursunuz, bu nedenle bu ayrıcalıkları iptal etmek için kök kapsamda (/) kendiniz için Kullanıcı Erişimi Yöneticisi rol atamasını kaldırmanız gerekir.

Rol Tanımlarını Çağır - Kullanıcı Erişim Yöneticisi rolünün ad kimliğini belirlemek için Kullanıcı Erişim Yöneticisi'ne eşit olan yeri roleName alın.

GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'

{
  "value": [
    {
      "properties": {
  "roleName": "User Access Administrator",
  "type": "BuiltInRole",
  "description": "Lets you manage user access to Azure resources.",
  "assignableScopes": [
    "/"
  ],
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": []
    }
  ],
  "createdOn": "0001-01-01T08:00:00.0000000Z",
  "updatedOn": "2016-05-31T23:14:04.6964687Z",
  "createdBy": null,
  "updatedBy": null
      },
      "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
      "type": "Microsoft.Authorization/roleDefinitions",
      "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
    }
  ],
  "nextLink": null
}

Bu örnekte 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9parametresinden name kimliğini kaydedin.

Ayrıca dizin yöneticisi için rol atamasını dizin kapsamında listelemeniz gerekir. Yükseltme erişim çağrısını yapan dizin yöneticisinin principalId dizin kapsamındaki tüm atamaları listeleyin. Bu, objectid dizinindeki tüm atamaları listeler.
```
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
```
Not

Dizin yöneticisinin çok fazla ataması olmamalıdır; önceki sorgu çok fazla atama döndürüyorsa, tüm atamaları yalnızca dizin kapsamı düzeyinde sorgulayabilir ve ardından sonuçları filtreleyebilirsiniz: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

Önceki çağrılar rol atamalarının listesini döndürür. Kapsamın "/" bulunduğu rol atamasını ve roleDefinitionId 1. adımda bulduğunuz rol adı kimliğiyle uçlarını bulun ve principalId dizin yöneticisinin objectId değeriyle eşleşir.

Örnek rol ataması:

{
  "value": [
    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
        "principalId": "{objectID}",
        "scope": "/",
        "createdOn": "2016-08-17T19:21:16.3422480Z",
        "updatedOn": "2016-08-17T19:21:16.3422480Z",
        "createdBy": "22222222-2222-2222-2222-222222222222",
        "updatedBy": "22222222-2222-2222-2222-222222222222"
      },
      "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
      "type": "Microsoft.Authorization/roleAssignments",
      "name": "11111111-1111-1111-1111-111111111111"
    }
  ],
  "nextLink": null
}

Yine parametresinden name kimliği kaydedin, bu örnekte 11111111-1111-1111-1111-1111111111111111.

Son olarak, tarafından elevateAccesseklenen atamayı kaldırmak için rol ataması kimliğini kullanın:

DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01

Dizin Etkinliği günlüklerinde yükseltilmiş erişim günlüğü girdilerini görüntüleme

Erişim yükseltildiğinde, günlüklere bir giriş eklenir. Microsoft Entra Id'de Genel Yönetici olarak, erişimin ne zaman yükseltildiğini ve kimin yaptığını denetlemek isteyebilirsiniz. Erişim günlüğü girdilerini yükselt standart etkinlik günlüklerinde görünmez, bunun yerine Dizin Etkinliği günlüklerinde görünür. Bu bölümde, erişim günlüğü girişlerini yükseltmeyi görüntülemenin farklı yolları açıklanmaktadır.

Azure portalını kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

Azure portalında Genel Yönetici olarak oturum açın.
İzleyici>Etkinlik günlüğünü açın.
Etkinlik listesini Dizin Etkinliği olarak değiştirin.
Erişim yükseltme eylemini gösteren aşağıdaki işlemi arayın.

Assigns the caller to User Access Administrator role

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

Genel Yönetici olarak oturum açmak için az login komutunu kullanın.
Örnek zaman damgasında gösterildiği gibi bir tarihe göre filtrelemeniz ve günlüklerin depolanmasını istediğiniz dosya adını belirtmeniz gereken aşağıdaki çağrıyı yapmak için az rest komutunu kullanın.

, url Microsoft.Insights'taki günlükleri almak için bir API çağırır. Çıkış dosyanıza kaydedilir.
```
az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
```

Çıkış dosyasında öğesini arayın elevateAccess.

Günlük, eylemin ne zaman gerçekleştiğini ve kimin çağırdığı zaman damgasını görebileceğiniz aşağıdakine benzer.

  "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
  "subscriptionId": "",
  "tenantId": "33333333-3333-3333-3333-333333333333"
},
{
  "authorization": {
    "action": "Microsoft.Authorization/elevateAccess/action",
    "scope": "/providers/Microsoft.Authorization"
  },
  "caller": "user@example.com",
  "category": {
    "localizedValue": "Administrative",
    "value": "Administrative"
  },

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmek için gruba erişim yetkisi verme

Erişim günlüğü girişlerini düzenli aralıklarla alabilmek istiyorsanız, bir gruba erişim yetkisi verebilir ve ardından Azure CLI'yı kullanabilirsiniz.

Microsoft Entra Id>Groups'u açın.
Yeni bir güvenlik grubu oluşturun ve grup nesnesi kimliğini not edin.
Genel Yönetici olarak oturum açmak için az login komutunu kullanın.
Az role assignment create komutunu kullanarak Okuyucu rolünü yalnızca dizininde bulunan Microsoft/Insightsdizin düzeyindeki günlükleri okuyabilen gruba atayın.
```
az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
```
Daha önce oluşturulan gruba günlükleri okuyacak bir kullanıcı ekleyin.

Gruptaki bir kullanıcı artık erişim günlüğü girdilerini yükseltmek için az rest komutunu düzenli aralıklarla çalıştırabilir.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Aracılığıyla paylaş

Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme

Erişiminizi neden yükseltmeniz gerekir?

Yükseltilmiş erişim nasıl çalışır?

Kök kapsamda adımları gerçekleştirme

1. Adım: Genel Yönetici için erişimi yükseltme

2. Adım: Yükseltilmiş erişimi kaldırma

1. Adım: Genel Yönetici için erişimi yükseltme

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

3. Adım: Yükseltilmiş erişimi kaldırma

1. Adım: Genel Yönetici için erişimi yükseltme

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

3. Adım: Yükseltilmiş erişimi kaldırma

Önkoşullar

1. Adım: Genel Yönetici için erişimi yükseltme

2. Adım: Rol atamalarını kök kapsamda listeleme (/)

3. Adım: Kök kapsamda reddetme atamalarını listeleme (/)

4. Adım: Yükseltilmiş erişimi kaldırma

Dizin Etkinliği günlüklerinde yükseltilmiş erişim günlüğü girdilerini görüntüleme

Azure portalını kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmeyi görüntüleme

Azure CLI kullanarak erişim günlüğü girişlerini yükseltmek için gruba erişim yetkisi verme

Sonraki adımlar

Geri Bildirim

Ek kaynaklar