如何解决遍历 Azure PIM 角色以供查看
Azure PIM 只是向资源添加一个临时 RBAC,角色分配在允许的时间段(最多 8 小时)后消失。
所以,想了解是否有办法对所有 Azure PIM 角色进行用户访问审查 - 比如我如何知道所有用户都可以提升 PIM 角色以及哪些角色以及在什么范围内。我知道 PIM 有“访问审查”,但需要管理员级别的权限,因此想知道是否有办法通过 powershell 或 CLI 创建此类报告以进行定期审查。
解决方法
是的,Get-AzureADMSPrivilegedRoleAssignment 模块中有一个命令 AzureADPreview 调用 Microsoft Graph - List governanceRoleAssignments,它应该满足您的要求,但它处于预览状态,我相信有一个这个命令/api中的bug,当你运行命令/调用api时,总是有一个UnknownError(我已经用AAD租户中的全局管理员和订阅中的所有者角色测试过了,所以应该没有权限问题)。所以要成功使用它,我想你可能需要等待它成为GA。
Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>
我知道 PIM 有“访问审查”,但这需要管理员级别的权限
另外,即使将来成为GA,我认为它需要管理员权限,因为门户和powershell中的功能应该都调用相同的API,它需要相同的权限。所以如果你没有足够的权限,无论如何你不能这样做。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
