遍历 Azure PIM 角色以供审核
Traversing Azure PIM Roles for Review
Azure PIM 只是向资源添加一个临时 RBAC,角色分配在允许的时间段(最多 8 小时)后消失。
所以,想了解是否有一种方法可以对所有 Azure PIM 角色进行用户访问审查——比如我如何知道所有用户都可以提升 PIM 角色以及哪些角色以及在什么范围内。我知道 PIM 有“访问审查”,但这需要管理员级别的权限,因此想知道是否有办法通过 powershell 或 CLI 来创建此类报告以进行定期审查。
是的,有一个命令 Get-AzureADMSPrivilegedRoleAssignment in AzureADPreview module that calls the Microsoft Graph - List governanceRoleAssignments,它应该可以满足您的要求,但它是预览版,我相信这个 command/api 中有一个错误,就像您 运行 command/call api,总有一个UnknownError(我已经用AAD租户中的全局管理员和订阅中的所有者角色进行了测试,所以应该没有权限问题)。所以要成功使用,我想你可能需要等它正式上线了。
Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>
I understand there is "Access Review" of PIM but that needs admin level permissions
另外,即使以后GA了,我觉得还是需要admin权限,因为portal和powershell里面的feature应该都是调用同一个API,需要的权限是一样的。所以如果你没有足够的权限,无论如何你不能这样做。
Azure PIM 只是向资源添加一个临时 RBAC,角色分配在允许的时间段(最多 8 小时)后消失。
所以,想了解是否有一种方法可以对所有 Azure PIM 角色进行用户访问审查——比如我如何知道所有用户都可以提升 PIM 角色以及哪些角色以及在什么范围内。我知道 PIM 有“访问审查”,但这需要管理员级别的权限,因此想知道是否有办法通过 powershell 或 CLI 来创建此类报告以进行定期审查。
是的,有一个命令 Get-AzureADMSPrivilegedRoleAssignment in AzureADPreview module that calls the Microsoft Graph - List governanceRoleAssignments,它应该可以满足您的要求,但它是预览版,我相信这个 command/api 中有一个错误,就像您 运行 command/call api,总有一个UnknownError(我已经用AAD租户中的全局管理员和订阅中的所有者角色进行了测试,所以应该没有权限问题)。所以要成功使用,我想你可能需要等它正式上线了。
Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>
I understand there is "Access Review" of PIM but that needs admin level permissions
另外,即使以后GA了,我觉得还是需要admin权限,因为portal和powershell里面的feature应该都是调用同一个API,需要的权限是一样的。所以如果你没有足够的权限,无论如何你不能这样做。