Sdílet prostřednictvím

Zobrazení sestav a protokolů ve správě nároků

  • Článek

Sestavy správy nároků a protokol auditu Microsoft Entra poskytují další podrobnosti o prostředcích, ke kterým mají uživatelé přístup. Jako správce můžete zobrazit přístupové balíčky a přiřazení zdrojů pro uživatele a zobrazit protokoly žádostí pro účely auditování nebo určit stav žádosti uživatele. Tento článek popisuje, jak používat sestavy správy nároků a protokoly auditu Microsoft Entra.

V následujícím videu se dozvíte, jak zobrazit, ke kterým prostředkům mají uživatelé přístup při správě nároků:

Zobrazení uživatelů přiřazených k přístupovém balíčku

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Tato sestava umožňuje zobrazit seznam všech uživatelů, kteří jsou přiřazeni k přístupovém balíčku.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky vyberte přístupový balíček, který zajímá.

  4. V nabídce vlevo vyberte Zadání a pak vyberte Stáhnout.

  5. Potvrďte název souboru a pak vyberte Stáhnout.

Zobrazení přístupových balíčků pro uživatele

Tato sestava umožňuje zobrazit seznam všech přístupových balíčků, které může uživatel požádat, a přístupové balíčky, které jsou aktuálně přiřazeny uživateli.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do sestav správy>nároků zásad správného řízení>identit.

  3. Vyberte přístupové balíčky pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Na kartě Může žádost se zobrazí seznam přístupových balíčků, které si uživatel může vyžádat. Tento seznam určuje zásady požadavků definované pro přístupové balíčky.

    Přístup k balíčkům pro uživatele

  6. Pokud pro přístupový balíček existuje více rolí prostředků nebo zásad, vyberte role prostředků nebo položku zásad, abyste zobrazili podrobnosti o výběru.

  7. Výběrem karty Přiřazeno zobrazíte seznam přístupových balíčků aktuálně přiřazených uživateli. Pokud je přístupový balíček přiřazen uživateli, znamená to, že uživatel má přístup ke všem rolím prostředků v přístupovém balíčku.

Zobrazení přiřazení zdrojů pro uživatele

Tato sestava umožňuje vypsat prostředky aktuálně přiřazené uživateli ve správě nároků. Tato sestava je určená pro prostředky spravované pomocí správy nároků. Uživatel může mít přístup k jiným prostředkům ve vašem adresáři mimo správu nároků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do sestav správy>nároků zásad správného řízení>identit.

  3. Vyberte přiřazení zdrojů pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Zobrazí se seznam prostředků aktuálně přiřazených uživateli. V seznamu se také zobrazuje přístupový balíček a zásady, ze které získaly roli prostředku, spolu s počátečním a koncovým datem pro přístup.

    Pokud uživatel získal přístup ke stejnému prostředku ve dvou nebo více balíčcích, můžete vybrat šipku a zobrazit každý balíček a zásady.

    Přiřazení zdrojů pro uživatele

Určení stavu žádosti uživatele

Pokud chcete získat další podrobnosti o tom, jak uživatel požadoval a přijal přístup k přístupovém balíčku, můžete použít protokol auditu Microsoft Entra. Konkrétně můžete použít záznamy protokolu v kategoriích EntitlementManagement a UserManagement získat další podrobnosti o krocích zpracování jednotlivých požadavků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do protokolů auditu správy nároků zásad>správného řízení>identit.

  3. V horní části změňte kategorii na buď EntitlementManagement nebo UserManagement, v závislosti na záznamu auditu, který hledáte.

  4. Vyberte Použít.

  5. Pokud chcete protokoly stáhnout, vyberte Stáhnout.

Když Microsoft Entra ID obdrží nový požadavek, zapíše záznam auditu, ve kterém je EntitlementManagement kategorie a aktivita je obvykle User requests access package assignment. Pokud přímé přiřazení vytvořené v Centru pro správu Microsoft Entra, pole Aktivita záznamu auditu je Administrator directly assigns user to access packagea uživatel provádějící přiřazení je identifikován actorUserPrincipalName.

Id Microsoft Entra zapisuje další záznamy auditu, zatímco probíhá požadavek, včetně:

Kategorie Aktivita Stav požadavku
EntitlementManagement Auto approve access package assignment request Požadavek nevyžaduje schválení.
UserManagement Create request approval Žádost vyžaduje schválení.
UserManagement Add approver to request approval Žádost vyžaduje schválení.
EntitlementManagement Approve access package assignment request Požadavek schválen
EntitlementManagement Ready to fulfill access package assignment request Žádost o schválení nebo nevyžaduje schválení

Když je uživateli přiřazen přístup, Microsoft Entra ID zapíše záznam auditu pro EntitlementManagement kategorii s aktivitou Fulfill access package assignment. Uživatel, který získal přístup, je identifikován polem ActorUserPrincipalName .

Pokud nebyl přístup přiřazený, pak ID Microsoft Entra zapíše záznam auditu pro EntitlementManagement kategorii s aktivitou Deny access package assignment request buď , pokud byl žádost zamítnuta schvalovatelem, nebo Access package assignment request timed out (no approver action taken)pokud vypršel časový limit žádosti před schválením schvalovatele.

Když vyprší platnost přiřazení přístupového balíčku uživatele, zruší ho nebo ho odebere správce, pak Microsoft Entra ID zapíše záznam auditu pro EntitlementManagement kategorii s aktivitou Remove access package assignment.

Stažení seznamu propojených organizací

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>identit>připojených organizací.

  3. Na stránce Připojené organizace vyberte Stáhnout.

Zobrazení událostí pro přístupový balíček

Pokud jste nakonfigurovali odesílání událostí protokolu auditu do služby Azure Monitor, můžete k zobrazení protokolů auditu uchovávaných ve službě Azure Monitor použít integrované sešity a vlastní sešity.

Pokud chcete zobrazit události pro přístupový balíček, musíte mít přístup k podkladovému pracovnímu prostoru služby Azure Monitor (viz Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor , kde najdete informace) a v jedné z následujících rolí:

  • Globální správce
  • Správce zabezpečení
  • Čtenář zabezpečení
  • Čtenář sestav
  • Správce aplikace

  1. V Centru pro správu Microsoft Entra vyberte Identita a pak v části Monitorování a stav vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.

  2. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  3. Vyberte sešit s názvem Aktivita přístupového balíčku.

  4. V sešitu vyberte časový rozsah (pokud si nejste jistí) a v rozevíracím seznamu všech přístupových balíčků, které měly aktivitu během tohoto časového rozsahu, vyberte ID přístupového balíčku. Zobrazí se události související s přístupovým balíčkem, ke kterému došlo během vybraného časového rozsahu.

    Zobrazení událostí přístupového balíčku

    Každý řádek obsahuje čas, ID přístupového balíčku, název operace, ID objektu, hlavní název uživatele (UPN) a zobrazovaný název uživatele, který operaci spustil. Další podrobnosti jsou zahrnuté ve formátu JSON.

  5. Pokud chcete zjistit, jestli nedošlo ke změnám přiřazení rolí aplikace pro aplikaci, které nebyly způsobeny přiřazením přístupového balíčku, jako je například přiřazení globálního správce přímo přiřazujícího uživateli k roli aplikace, můžete vybrat sešit s názvem Aktivita přiřazení role aplikace.

    Zobrazení přiřazení rolí aplikace

Další kroky