Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, позволяет просматривать действия, активации и журнал аудита для ролей ресурсов Azure в организации. Включая подписки, группы ресурсов и даже виртуальные машины. Любой ресурс в Центре администрирования Microsoft Entra, использующий функциональные возможности управления доступом на основе ролей Azure, может воспользоваться возможностями управления безопасностью и жизненным циклом в Privileged Identity Management. Если вы хотите сохранить данные аудита дольше, чем срок хранения по умолчанию, можно использовать Azure Monitor для маршрутизации данных в учетную запись хранения Azure. Дополнительные сведения см. в статье «Архив журналов Microsoft Entra в учетную запись хранения Azure».
Примечание.
Если у вашей организации есть функции аутсорсинга управления поставщику услуг, использующим Azure Lighthouse, назначения ролей, авторизованные этим поставщиком услуг, не будут отображаться здесь.
Просмотр действий и активаций
Чтобы просмотреть действия, выполняемые определенным пользователем в различных ресурсах, просмотрите действие ресурса Azure, связанное с периодом активации.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификаторами>Управление привилегированными удостоверениями>ресурсам Azure.
Выберите ресурс, для которого нужно просмотреть сведения о действиях и активациях.
Выберите роли или члены.
Выберите пользователя.
Отображается сводка действий пользователя в ресурсах Azure по датам. Здесь же будет показана информация о последних активациях роли за тот же период времени.
Выберите конкретную активацию роли, чтобы просмотреть подробные сведения и соответствующие действия с ресурсами Azure, которые произошли за время активности этого пользователя.
Экспорт назначений ролей с дочерними элементами
Для соответствия требованиям вам может потребоваться указать полный список назначений ролей для аудиторов. PIM позволяет запрашивать назначения ролей конкретного ресурса, в том числе всех его дочерних ресурсов. Ранее у администраторов возникали трудности при получении полного списка назначений ролей для подписки, и им нужно было экспортировать назначения ролей для каждого конкретного ресурса. С помощью PIM можно запрашивать все активные и допустимые назначения ролей в подписке, включая назначения ролей для всех ресурсов и групп ресурсов.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификаторами>Управление привилегированными удостоверениями>ресурсам Azure.
Выберите ресурс, для которого нужно экспортировать назначения ролей, например подписку.
Выберите назначения.
Выберите "Экспорт", чтобы открыть область "Экспорт членства".
Выберите "Экспорт всех участников" , чтобы экспортировать все назначения ролей в CSV-файле.
Просмотр журнала аудита ресурсов
Аудит ресурсов позволяет просмотреть все действия ролей для какого-либо ресурса.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификаторами>Управление привилегированными удостоверениями>ресурсам Azure.
Выберите ресурс, для которого нужно просмотреть журнал аудита.
Выберите аудит ресурсов.
Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.
Для типа аудита выберите "Активировать" (Назначено и активировано).
В разделе "Действие" выберите (действие) для пользователя, чтобы просмотреть сведения о действиях этого пользователя в ресурсах Azure.
Просмотр раздела "Мой аудит"
В разделе "Мой аудит" можно просматривать действия, выполняемые в личной роли.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению идентификаторами>Управление привилегированными удостоверениями>ресурсам Azure.
Выберите ресурс, для которого нужно просмотреть журнал аудита.
Выберите "Мой аудит".
Отфильтруйте данные: используйте уже заданный диапазон дат или настройте собственный.
Примечание.
Для доступа к журналу аудита требуется по крайней мере роль администратора привилегированных ролей.
Получите причину, утверждающего и номер билета для событий утверждения
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к Entra ID>Контроль и работоспособность>Журналы аудита.
Используйте фильтр службы для отображения только событий аудита для службы управления привилегированными пользователями. На странице журналов аудита можно:
- См. причину события аудита в столбце "Причина состояния ".
- См. утверждающего в столбце Инициатор (субъект) для события "запрос на добавление участника в роль одобрен".
Выберите событие журнала аудита, чтобы просмотреть номер билета на вкладке "Действие " области сведений .
Вы можете просмотреть запрашивающий объект (пользователь, активировающий роль) на вкладке "Цели " области сведений для события аудита. Существует три типа целевых объектов для ролей ресурсов Azure:
- Роль (тип = роль)
- Запрашиватель (Type = Other)
- Утверждающий (тип = пользователь)
Как правило, событие журнала, расположенное непосредственно над событием утверждения, является событием для Добавление участника к роли завершено, где инициатором (субъектом) является запрашивающий. В большинстве случаев вам не нужно искать инициатора запроса в запросе на утверждение с точки зрения аудита.