PIMinfo Powershell

Zwei getrennte Powershells

• Eine, um Informationen über die Rollen von Azuread PIM (privilegierte Identitätsmanagement) aus dem Mieter herauszuholen
• Eine, die Informationen über Azure PIM -Rollen (privilegierte Identitätsmanagement) aus Azure -Ressourcen herausholen kann

Codeergebnisse Eins oder mehrere CSV -Dateien. Das bedeutet einige "zusätzliche Informationen".

• Azure AD -> Ein CSV mit allen Informationen, die gesammelt werden
• Azure -> Multiple CSV mit allen gesammelten Informationen (Abonnementgruppen von getrennten Dateien, Abonnements und Ressourcengruppen. Plus getrennte Dateien direkte Rollen und direkte+ererbte Rollen (ja, etwas überwältigend ..)

Erfordert PowerShell Azuread Preview 2.0 (30.05.2022 - v2.0.2.149)

• Und denken Sie daran, weil es eine Vorschau ist, kann es sich ändern. Und es gibt Einschränkungen (wie API gibt nur 200 Ergebnisse zurück, whch ist ein Grund für Schleifen)

Es gibt immer noch wenige Dinge im Code, die "im Bau" sind. Das erklärt also nur wenige zusätzliche Parameterreservierungen.

Und ich weiß. Dieser Code ist nicht optimiert + einige Teile des Codes. Nur bloß damit ..

Azuread ist etwas einfacher - und denken Sie daran, dass privilegierte Rollenzuweisungen eindeutig ID: S in jedem Azure -Mieter sind.

Aber Rollen von Azure zu bekommen, ist etwas kompletter

Erstens. Lassen Sie sich nicht mit verschiedenen ID -Zeichenfolgen und Namen dieser Saiten verwechseln.

• Get -AzureadmSprivilegedResource -Providerid 'Azureresources' -Filter $ findstring #picks up, nur gewünschte Ressource basierend auf Filter

• Get -AzureadmSprivilegedrolase -Signment -Providerid 'Azureresources' -resourceid $ resResource.ID #Gets Rollenzuweisungen aus dem Ressourcen -ID aus dem vorherigen Befehl -Ergebnis ist hauptsächlich unterschiedliche ID -Informationen

• Get -AzureadmSprivilegedrolesetting -Providerid 'Azureresources' -Filter "(ResourcEID EQ '$ ( $ ResResource.id) ')) und (roledefinitionID EQ' $ ($ Roleassign.roledefinitionID) ') "#gets Rolleneinstellungen basierend auf Ressourcen -ID und Roledefinition ID

• Get -AzureadmSprivilegedroledefinition -Providerid 'Azureresources' -Resourceid $ resResource.id -id $ roleassign.roledefinitionID #gets mehr lesbare roledefinitions -Informationen basierend auf ressourcen- und roleassignment -roledEnitionIdIdinitida -

• Get -AzureadObjectByObjectId -Objectids $ roleassign.subjectId #gets Weitere lesbare roledefinitions -Info von Azuread basierend auf Roleassignment SubjektID (Azuread ObjectID)

Resultierende CSV: S kann verwendet werden, um die aktuellen Rollen herauszufinden. Und verwenden Sie gefilterte Informationen als Eingabe, um die aktuelle Umgebung zu reinigen.

Es ist auch möglich, Rollen bei PowerShell zu halten. Aber vielleicht mehr darüber.

31.05.2022 Zusätzliche Sammlung von Azure -Rollen -Informationen (funktionieren weiterhin, um die tatsächlichen Einstellungen herauszufinden) und aktualisiertes Azure -Bild. 03.06.2022 Aktualisierte Bilder und .ps1 -Dateien (aktualisierte Rollen -Info -Abholung und AddoctorInfo hinzugefügt). Und ich habe herausgefunden, dass roledefinitionID nicht immer gleich ist wie die integrierte ID (in einigen Fällen ja, aber zumindest ältere PIM -Konfigurationen - vertrauen Sie dem nicht). 03.06.2022 Hinzufügen von ReadAzurePimrolesettings.ps1, um alle Mg-, Abonnement- und Ressourcengruppen -Pimrolesettings aufzulisten