遍历Azure PIM角色进行评审

Question

Azure PIM只是在资源中添加一个临时的RBAC，角色分配在允许的时间段之后就会消失(最多8小时)。

因此，我想了解是否有一种方法可以对所有Azure PIM角色进行用户访问审查--比如我如何知道所有用户都可以提升PIM角色&什么角色和范围。我知道有PIM的“访问审查”，但这需要管理级别的权限，因此想知道是否有方法通过powershell或CLI创建这样的报告进行定期审查。

Answer 1

是的，在Get-AzureADMSPrivilegedRoleAssignment模块中有一个命令AzureADPreview调用Microsoft，它应该满足您的要求，但是它是预览的，而且我相信这个命令/ api中有一个错误，因为当您运行命令/调用api时，总是有一个UnknownError(我已经在AAD租户和所有者角色中测试了它，所以不应该出现权限问题)。因此，要成功地使用它，我认为您可能需要等待它成为GA。

Get-AzureADMSPrivilegedRoleAssignment -ProviderId AzureResources -ResourceId <tenant-id>

我知道有PIM的“访问审查”，但这需要管理级别的权限

此外，即使将来成为GA，我也认为它需要管理权限，因为门户和powershell中的特性都应该调用相同的API，它需要相同的权限。所以如果你没有足够的许可，无论如何你不能这么做。