Обзор ролей PIM в Azure для проверки

Azure PIM просто добавляет временный RBAC к ресурсу, и назначение ролей прекращается после разрешенного временного интервала (максимум 8 часов).

Итак, я хотел понять, есть ли способ проводить проверки доступа пользователей ко всем ролям PIM Azure - например, как я могу узнать, кто все пользователи могут повышать роли PIM, какие роли и в каком объеме. Я понимаю, что существует Access Review of PIM, но для этого требуются разрешения на уровне администратора, поэтому мне интересно, есть ли способ с помощью PowerShell или CLI создать такой отчет для периодических проверок.


azure powershell azure-active-directory azure-powershell pim
person Fahad Khan    schedule 27.04.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Да, есть команда Get-AzureADMSPrivilegedRoleAssignment в модуле AzureADPreview, который вызывает Microsoft Graph - _ 3_, он должен соответствовать вашему требование, но оно находится в предварительном просмотре, и я считаю, что в этой команде / api есть ошибка, так как когда вы запускаете команду / вызываете api, всегда есть UnknownError (я тестировал его с помощью глобального администратора в клиенте AAD и владельце роль в подписке, поэтому проблем с разрешениями быть не должно). Поэтому, чтобы использовать его успешно, я думаю, вам, возможно, придется подождать, пока он станет GA.

Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>

Я понимаю, что есть Access Review of PIM, но для этого требуются разрешения уровня администратора

Кроме того, даже если в будущем он станет GA, я думаю, что ему нужны права администратора, потому что и функция на портале, и PowerShell должны вызывать один и тот же API, для него требуется одно и то же разрешение. Так что, если у вас недостаточно разрешения, вы все равно не сможете этого сделать.

person Joy Wang    schedule 04.05.2021