PIMinfo Powershell

สอง PowerShell แยกกัน

• หนึ่งในการดึงข้อมูลของ Azuread PIM (การจัดการข้อมูลประจำตัวที่ได้รับการยกเว้น) จากผู้เช่า
• หนึ่งในการดึงข้อมูลของ Azure PIM (การจัดการข้อมูลประจำตัวที่ได้รับการยกเว้น) จากทรัพยากร Azure

รหัสผลลัพธ์ไฟล์ CSV หนึ่งไฟล์ขึ้นไป นั่นหมายถึง "ข้อมูลพิเศษ" บางอย่าง

• Azure ad -> หนึ่ง CSV พร้อมข้อมูลทั้งหมดที่รวบรวม
• Azure -> CSV หลายตัวพร้อมข้อมูลทั้งหมดที่รวบรวม (กลุ่มการจัดการไฟล์ที่แยกจากกันการสมัครสมาชิกและกลุ่มทรัพยากรรวมทั้งไฟล์ที่แยกจากกันบทบาทโดยตรงและบทบาทโดยตรง+ที่สืบทอดมา (ใช่บิตท่วมท้น .. )

ต้องใช้ PowerShell Azuread Preview 2.0 (30.05.2022 - v2.0.2.149)

• และจำไว้ว่าเพราะมันเป็นตัวอย่างที่สามารถเปลี่ยนแปลงได้ และมีข้อ จำกัด (เช่น API ส่งคืนผลลัพธ์เพียง 200 รายการ Whitch เป็นเหตุผลหนึ่งสำหรับลูป)

ยังมีบางสิ่งในรหัสที่ "อยู่ระหว่างการก่อสร้าง" เพื่ออธิบายการจองพารามิเตอร์พิเศษสองสามครั้ง

และฉันรู้ .. รหัสนี้ไม่ได้รับการปรับให้เหมาะสม + บางส่วนของรหัส .. เพียงแค่เปลือยกับมัน ..

Azuread นั้นตรงไปตรงมามากขึ้น - และจดจำการกำหนดบทบาทที่มีสิทธิพิเศษคือ ID: S ในแต่ละผู้เช่า Azure

แต่การได้รับบทบาทจาก Azure นั้นมีมากขึ้นเล็กน้อย

ก่อนอื่น .. อย่าสับสนกับสตริง ID ที่แตกต่างกันและชื่อของสตริงเหล่านั้น

• get -azureadmsprivilegedResource -providerid 'Azureresources' -filter $ findString #picks Up เพียงแค่ทรัพยากรที่ต้องการตามตัวกรอง

• get -azureadmsprivilegedRoleAssignment -providerid 'Azureresources' -resourceid $ resresource.id #gets การกำหนดบทบาทจาก ResourceId จากคำสั่งก่อนหน้า -ผลลัพธ์เป็นข้อมูล ID ที่แตกต่างกันเป็นหลัก

• get -azureadmsprivilegedRolesetting -providerid 'azureresources' -filter "(ResourceId Eq '$ ( $ resresource.id) ') และ (roledefinitionid eq' $ ($ ROLEESSIGN.ROLEDEFINITIONID) ') "การตั้งค่าบทบาท #GETS ตาม ID ทรัพยากรและรหัส ROLEDEFINITION

• Get -AzureadmsprivilegedRoledefinition -providerid 'Azureresources' -resourceid $ resresource.id -id $ roleassign.roledefinitionid #gets ข้อมูล roledefinition ที่อ่านได้มากขึ้นตาม ResourceId และ Roleassignment

• Get -AzureadObjectByObjectId -ObjectIds $ roleassign.subjectId #gets ข้อมูล roledefinition ที่อ่านได้มากขึ้นจาก Azuread โดยใช้ RoleasSignment SubjectId (Azuread ObjectId)

CSV ที่เกิดขึ้น: S สามารถใช้เพื่อหาบทบาทปัจจุบัน และใช้ข้อมูลที่กรองเป็นอินพุตเพื่อทำความสะอาดสภาพแวดล้อมปัจจุบัน

นอกจากนี้ยังเป็นไปได้ที่จะรักษาบทบาทด้วย PowerShell .. แต่อาจจะเกี่ยวกับเรื่องนั้นในภายหลัง

31.05.2022 เพิ่มการรวบรวมข้อมูล Rolesettings Azure (ยังคงทำงานเพื่อให้ได้การตั้งค่าจริง) และอัพเดทรูปภาพ Azure 03.06.2022 รูปภาพที่ได้รับการปรับปรุงและไฟล์. ps1 (อัปเดตข้อมูลการตั้งค่าข้อมูลและเพิ่มโฆษณาโฆษณาโฆษณา) และฉันก็พบว่า roledefinitionId ไม่เหมือนกับ allways allways id ใน builtinrbac id (ในบางกรณีใช่มันเป็น แต่อย่างน้อยการกำหนดค่า PIM ที่เก่ากว่า - ไม่น่าเชื่อถือ) 03.06.2022 เพิ่ม readazurepimrolesettings.ps1 เพื่อแสดงรายการทุก Mg, การสมัครสมาชิกและกลุ่มทรัพยากร pimrolesettings 16.06.2022 เปลี่ยน PowerShells - รายงานส่วนใหญ่และวิธีการเชื่อมต่อ (ตรวจสอบให้แน่ใจ