使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM),你可以查看组织中的 Azure 资源角色的活动、激活和审核历史记录。 这些资源包括订阅、资源组甚至虚拟机。 如果 Microsoft Entra 管理中心的任何资源使用 Azure 的基于角色的访问控制 (RBAC) 功能,则可以利用 Privileged Identity Management 中的安全和生命周期管理功能。 如果要保留数据,审核数据的时间超过默认保留期,可以使用 Azure Monitor 将其路由到 Azure 存储帐户。 有关详细信息,请参阅 将 Microsoft Entra 日志存档到 Azure 存储帐户。
注意
如果组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则不会在此处显示该服务提供商授权的角色分配。
查看活动和激活
若要查看特定用户在各种资源中执行的操作,请查看与其激活时段关联的 Azure 资源活动。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Azure 资源。
选择要查看其活动和激活情况的资源。
选择“角色”或“成员”。
选择用户。
你将在 Azure 资源中按日期查看用户操作的摘要。 其中还显示了同一时间段内的最近角色激活。
选择特定的角色激活活动,以查看用户的详细信息以及该用户处于活动状态时发生的相应 Azure 资源活动。
导出具有子级的角色分配
你可能具有合规性要求,必须向审核者提供角色分配的完整列表。 可以使用 Privileged Identity Management 查询特定资源上的角色分配,这包括针对所有子资源的角色分配。 以前,管理员很难获取某个订阅的角色分配完整列表,他们必须导出每个特定资源的角色分配。 使用 Privileged Identity Management,可以查询某个订阅中所有处于活动状态和符合条件的角色分配,包括针对所有资源组和资源的角色分配。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Azure 资源。
单击要为其导出角色分配情况的资源,例如订阅。
选择“分配” 。
单击“导出”以打开“导出成员身份”窗格。
选择“ 导出所有成员 ”以导出 CSV 文件中的所有角色分配。
查看资源审核历史记录
资源审核提供资源的所有角色活动的视图。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Azure 资源。
选择要查看其审核历史记录的资源。
选择“资源审核” 。
使用预定义的日期或自定义的范围筛选历史记录。
对于“审核类型”,选择“激活(已分配 + 已激活)”。
在 “操作”中,为某个用户选择 (活动),以查看该用户在 Azure 资源中的活动详细信息。
查看我的审核
使用“我的审核”,可以查看你的个人角色活动。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Azure 资源。
选择要查看其审核历史记录的资源。
选择“我的审核” 。
使用预定义的日期或自定义的范围筛选历史记录。
注意
要访问审核历史记录,至少需要“特权角色管理员”角色。
获取审批事件的原因、审批者和票证编号
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>审核日志。
使用“服务” 筛选器以仅显示特权身份管理服务的审核事件。 在“审核日志” 页上,你可以:
- 请在“状态原因” 列中查看审核事件的原因。
- 在“将成员添加到角色请求已批准”事件的“发起人(参与者)” 列中查看审批者。
选择一个审核日志事件,以在“详细信息”窗格的“活动”选项卡上查看票证编号。
可以在审核事件的“详细信息”窗格的“目标”选项卡上查看请求者(激活角色的人员)。 Azure 资源角色有三种目标类型:
- 角色( 类型 = 角色)
- 请求者 (Type = Other)
- 审批者 (Type = User)
通常,审批事件正上方的日志事件是“将成员添加到角色已完成”事件,其中,“发起人(参与者)”是请求者。 大多数情况下,你无需从审核角度查找审批请求中的请求者。