PIMinfo Powershell

Два разделенных Пауэршелл

• Один из них, чтобы получить информацию о ролях Azuread Pim (привилегированное управление идентификацией) от арендатора
• Один, чтобы получить информацию о ролях Azure PIM (привилегированное управление идентификацией) из Azure Resources

Кодовые результаты один или несколько файлов CSV. Это означает некоторую «дополнительную информацию».

• Azure Ad -> One CSV со всей информацией, которая собирается
• Azure -> Несколько CSV со всей информацией, которая собирается (разделенные группы управления файлами, подписки и группы ресурсов. Плюс разделенные файлы прямые роли и прямые+наследственные роли (да, бит подавляющий ..)

Требуется PowerShell Azuread Preview 2.0 (30.05.2022 - v2.0.2.149)

• И помните, потому что это предварительный просмотр, он может измениться. И есть ограничения (например, API возвращает только 200 результатов, Whitch является одной из причин для петли)

В коде все еще мало вещей, которые «строится». Так что это объясняет несколько дополнительных параметров.

И я знаю .. Этот код не оптимизирован + некоторые части кода .. просто обнажены с ним ..

Azuread немного прост - и помните, что привилегированные ролевые задания являются уникальными ID: S в каждом арендаторе Azure.

Но получение ролей от Azure немного более комлинировано

Прежде всего .. не путайте с разными идентификационными строками и именами этих струн.

• Get -azureadmsprivilegedresource -providerid 'azureresources' -filter $ findstring #picks up только что желаемый ресурс на основе фильтра

• Get -azureadmsPrivilegedRoleAsSignment -providerid 'azureresources' -resourceid $ resresource.id #gets Ролевые назначения из ResourceID из предыдущей команды -результат в основном отличается от информации идентификатора.

• Get -azureadmsprivilegedrolesetting -providerid 'azureresources' -filter "(Resourceid EQ '$ ( $ Resresource.id) ') и (roledefinitionId eq' $ ($ Roleassign.roledefinitionId) ') "#Gets Roles Settings на основе идентификатора ресурса и идентификатора RoledEfinition

• Get -azureadmsPrivilegedRoLeDefinition -providerid 'azureresources' -resourceid $ resresource.id -Id $ roleasSign.RoledEfinitionId #GETS более читаемой информации о RoledEfinition на основе ResourceId и ROLEASSINTIONSIDIDIDIDIDID

• Get -azureadobjectByObjectId -objectids $ roleAsSign.subjectId #GETS Более читаемой информации о ролефиниции от Azuread на основе RoleAseSignment SubjectId (Azuread ObjectId)

Полученные CSV: S можно использовать для выяснения ролей текущих. И используйте фильтрованную информацию в качестве входной информации для очистки текущей среды.

Также возможно поддерживать роли с PowerShell ... но, возможно, больше об этом позже.

31.05.2022 Добавлена коллекция информации Azure Rolesettings (по -прежнему работает, чтобы сделать фактические настройки) и обновленная картинка Azure. 03.06.2022 Обновленные изображения и файлы .ps1 (обновленная информация о ролях и добавлено ad objectInfo). И я обнаружил, что RoledefinitionId не совсем такой же, как и ID BuildInRBAC (в некоторых случаях да, но, по крайней мере, более старые конфигурации PIM - не доверяйте этому). 03.06.2022 Добавлены readazurepimrolesettings.ps1, чтобы перечислить все Mg, подписку и ресурсную группу Pimrolesettings 16.06.2022 Измененные пауэршины - в основном отчеты и как подключиться (убедитесь, что у вас есть. . . Последние папки)