问题描述
Azure PIM 只是向资源添加一个临时 RBAC,角色分配在允许的时间段(最多 8 小时)后消失。
所以,想了解是否有办法对所有 Azure PIM 角色进行用户访问审查 - 比如我如何知道所有用户都可以提升 PIM 角色以及哪些角色以及在什么范围内。我知道 PIM 有“访问审查”,但需要管理员级别的权限,因此想知道是否有办法通过 powershell 或 CLI 创建此类报告以进行定期审查。
解决方法
是的,Get-AzureADMSPrivilegedRoleAssignment 模块中有一个命令 AzureADPreview 调用 Microsoft Graph - List governanceRoleAssignments,它应该满足您的要求,但它处于预览状态,我相信有一个这个命令/api中的bug,当你运行命令/调用api时,总是有一个UnknownError(我已经用AAD租户中的全局管理员和订阅中的所有者角色测试过了,所以应该没有权限问题)。所以要成功使用它,我想你可能需要等待它成为GA。
Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>
我知道 PIM 有“访问审查”,但这需要管理员级别的权限
另外,即使将来成为GA,我认为它需要管理员权限,因为门户和powershell中的功能应该都调用相同的API,它需要相同的权限。所以如果你没有足够的权限,无论如何你不能这样做。