Azure PIM 只是将临时 RBAC 添加到资源中,角色分配在允许的时间段(最多 8 小时)后消失。
因此,想了解是否有一种方法可以对所有 Azure PIM 角色进行用户访问审查——比如我如何知道所有用户可以提升 PIM 角色以及哪些角色以及在什么范围内。我知道 PIM 有“访问审查”,但需要管理员级别的权限,因此想知道是否有办法通过 powershell 或 CLI 创建此类报告以进行定期审查。
问问题
108 次
1 回答
0
是的,模块中有一个命令Get-AzureADMSPrivilegedRoleAssignment调用AzureADPreviewMicrosoft Graph - List governanceRoleAssignments,它应该满足您的要求,但它是预览版,我相信此命令/api 中存在错误,就像您运行命令/调用 api 时一样,总是有一个UnknownError(我已经使用 AAD 租户中的全局管理员和订阅中的所有者角色对其进行了测试,因此应该没有权限问题)。所以要成功使用它,我想你可能需要等待它成为 GA。
Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>
我了解 PIM 有“访问审查”,但需要管理员级别的权限
另外,即使将来变成GA,我认为它也需要管理员权限,因为portal和powershell中的功能应该都调用相同的API,它需要相同的权限。因此,如果您没有足够的权限,无论如何您都无法执行此操作。
于 2021-05-04T02:55:32.807 回答