PIMinfo Powershell

Dos PowerShell separados

• Uno para extraer información de los roles de Azuread PIM (gestión de identidad privilegiada) del inquilino
• Uno para extraer información de los roles de Azure PIM (gestión de identidad privilegiada) de Azure Resources

El código resulta en uno o más archivos CSV. Eso significa algo de "información adicional".

• Azure AD -> Un CSV con toda la información que se recopila
• Azure -> CSV múltiple con toda la información que se recopila (grupos de gestión de archivos separados, suscripciones y grupos de recursos. Además de archivos separados, roles directos y roles directos+heredados (sí, bits abrumadores ...)

Requiere Vista previa de PowerShell AzUread 2.0 (30.05.2022 - V2.0.2.149)

• Y recuerde porque es una vista previa que puede cambiar. Y hay limitaciones (como las devoluciones de API solo 200 resultados, Whitch es una razón para los bucles)

Todavía hay pocas cosas en código que están "en construcción". Eso explica algunas reservas de parámetros adicionales.

Y lo sé ... este código no está optimizado + algunas partes del código ... solo desnudo con él ...

Azuread es un poco más sencillo, y recuerde que las tareas de roles privilegiadas son ID únicas en cada inquilino de Azure.

Pero obtener roles de Azure es un poco más complejo

En primer lugar ... no te confundas con diferentes cadenas de identificación y nombres de esas cuerdas.

• Get -AzureAdmsPrivilegedResource -ProviderId 'AzurureSources' -filter $ FindString #Picks Up recursos recién deseados basado en el filtro

• Get -AzureAdmsPrivilegedRoleassignment -ProviderId 'AzurureSources' -ResourceId $ resresource.id #gets Asignaciones de roles de ResourceId del comando anterior -Resultado es principalmente información de identificación

• Get -AzureAdmsPrivilegedRoleetting -ProviderId 'AzurureSources' -filter "(ResourceId Eq '$ ( $ Resresource.id) ') y (roleDefinitionID eq' $ ($ Roleassign.roleDefinitionId) ') "#gets Configuración de roles basada en ID de recursos e ID de RoleDefinition

• Get -AzureAdmsPrivilegedRoleDefinition -ProviderId 'AzurureSources' -ResourceId $ resresource.id -id $ roleassign.roledefinitionID #gets más legible información roledefinition basada en recursos y rolasas de rolas roledicinitionididididididio

• Get -AzureAdObjectByObjectId -objectids $ roleassign.subjectId #gets más legible información de roleDefinition de AzUread basada en Roleassignment SUSPELID (Azuread ObjectId)

CSV: S resultante se puede usar para descubrir los roles de corriente. Y use información filtrada como entrada para limpiar el entorno actual.

También es posible mantener roles con PowerShell ... pero tal vez más sobre eso más adelante.

31.05.2022 Recopilación agregada de información de roles de Azure (aún así funciona para obtener la configuración real) y la imagen actualizada de Azure. 03.06.2022 Fotos actualizadas y archivos .ps1 (recogida de información de roles de roles actualizados y agregó AD ObjectInfo). Y descubrí que RoleDefinitionId no es siempre igual que BuiltInRBAC ID (en algunos casos sí, pero al menos configuraciones PIM más antiguas, no confíe en eso). 03.06.2022 Se agregó readazurePimrolesettings.ps1 para enumerar cada mg, suscripción y grupo de recursos Pimrolesettings 16.06.2022 cambió de potencia, principalmente informes y cómo conectarse (asegúrese de haberlo hecho. Últimas carpetas)