Anzeigen von Berichten und Protokollen in der Berechtigungsverwaltung

  • Artikel

Die Berichte der Berechtigungsverwaltung und das Microsoft Entra-Überwachungsprotokoll enthalten zusätzliche Details zu den Ressourcen, auf die Benutzer*innen Zugriff haben. Als Administrator können Sie die Zugriffspakete und Ressourcenzuweisungen für einen Benutzer sowie die Anforderungsprotokolle zu Überprüfungszwecken oder zum Ermitteln des Status einer Benutzeranforderung anzeigen. In diesem Artikel wird die Verwendung von Berichten der Berechtigungsverwaltung und von Microsoft Entra-Überwachungsprotokollen beschrieben.

Sehen Sie sich das folgende Video an, um zu erfahren, wie Sie in der Berechtigungsverwaltung anzeigen können, auf welche Ressourcen Benutzer Zugriff haben:

Anzeigen von Benutzern, die einem Zugriffspaket zugewiesen sind

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

In diesem Bericht können Sie alle Benutzer auflisten, die einem Zugriffspaket zugewiesen sind.

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie auf der Seite Zugriffspakete das gewünschte Zugriffspaket aus.

  4. Wählen Sie im Menü links Zuweisungen und dann Herunterladen aus.

  5. Bestätigen Sie den Dateinamen, und klicken Sie dann auf Herunterladen.

Anzeigen von Zugriffspaketen für einen Benutzer

Mit diesem Bericht können Sie alle Zugriffspakete auflisten, die ein Benutzer anfordern kann und die dem Benutzer derzeit zugewiesen sind.

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Berichte.

  3. Wählen Sie Zugriffspakete für einen Benutzer aus.

  4. Wählen Sie Benutzer auswählen aus, um den Bereich „Benutzer auswählen“ zu öffnen.

  5. Suchen Sie in der Liste nach dem Benutzer und wählen Sie dann Auswählen aus.

    Auf der Registerkarte Kann anfordern wird eine Liste mit den Zugriffspaketen angezeigt, die der Benutzer anfordern kann. Diese Liste beruht auf den Anforderungsrichtlinien, die für die Zugriffspakete definiert sind.

    Access packages for a user

  6. Wenn es mehr als eine Ressourcenrolle oder Richtlinie für ein Zugriffspaket gibt, wählen Sie den Eintrag für die Ressourcenrollen bzw. Richtlinien aus, um die Auswahldetails anzuzeigen.

  7. Wählen Sie die Registerkarte Zugewiesen aus, um eine Liste der Zugriffspakete anzuzeigen, die dem Benutzer derzeit zugewiesen sind. Wenn einem Benutzer ein Zugriffspaket zugewiesen ist, bedeutet dies, dass der Benutzer Zugriff auf alle Ressourcenrollen im Zugriffspaket hat.

Anzeigen der Ressourcenzuweisungen für einen Benutzer

Mit diesem Bericht können Sie die Ressourcen auflisten, die einem Benutzer derzeit in der Berechtigungsverwaltung zugewiesen sind. Dieser Bericht gilt für mit der Berechtigungsverwaltung verwaltete Ressourcen. Der Benutzer hat möglicherweise Zugriff auf andere Ressourcen in Ihrem Verzeichnis außerhalb der Berechtigungsverwaltung.

Erforderliche Rolle: Globaler Administrator oder Identity Governance-Administrator

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Berichte.

  3. Wählen Sie Ressourcenzuweisungen für einen Benutzer aus.

  4. Wählen Sie Benutzer auswählen aus, um den Bereich „Benutzer auswählen“ zu öffnen.

  5. Suchen Sie in der Liste nach dem Benutzer und wählen Sie dann Auswählen aus.

    Es wird eine Liste der Ressourcen angezeigt, die dem Benutzer aktuell zugewiesen sind. In der Liste werden auch das Zugriffspaket und die Richtlinie angezeigt, von denen die Ressourcenrolle stammt, sowie das Start-und Enddatum für den Zugriff.

    Wenn ein Benutzer in zwei oder mehr Paketen Zugriff auf dieselbe Ressource hat, können Sie auf einen Pfeil wählen, um die einzelnen Pakete und Richtlinien anzuzeigen.

    Resource assignments for a user

Ermitteln des Status einer Benutzeranforderung

Sie können das Microsoft Entra-Überwachungsprotokoll verwenden, um zusätzliche Details darüber abzurufen, wie Benutzer*innen Zugriff auf ein Zugriffspaket angefordert und erhalten haben. Insbesondere können Sie die Protokolleinträge in den Kategorien EntitlementManagement und UserManagement nutzen, um zusätzliche Details zu den Verarbeitungsschritten für jede Anforderung zu erhalten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Überwachungsprotokolle.

  3. Ändern Sie im oberen Bereich die Kategorie abhängig vom gewünschten Überwachungsdatensatz in EntitlementManagement oder UserManagement.

  4. Wählen Sie Übernehmen.

  5. Wählen Sie zum Herunterladen der Protokolle Herunterladen aus.

Wenn Microsoft Entra ID eine neue Anforderung empfängt, wird ein Überwachungsdatensatz geschrieben, in dem die KategorieEntitlementManagement und die Aktivität in der Regel User requests access package assignment lautet. Bei einer im Microsoft Entra Admin Center erstellten direkten Zuweisung heißt das Feld Aktivität des Überwachungsdatensatzes Administrator directly assigns user to access package, und die Benutzerin oder der Benutzer, die/der die Zuweisung vornimmt, wird durch das Feld ActorUserPrincipalName identifiziert.

Während die Anforderung ausgeführt wird, schreibt Microsoft Entra ID zusätzliche Überwachungsdatensätze, die Folgendes umfassen:

Kategorie Aktivität Anfragestatus
EntitlementManagement Auto approve access package assignment request Anforderung erfordert keine Genehmigung
UserManagement Create request approval Anforderung muss genehmigt werden
UserManagement Add approver to request approval Anforderung muss genehmigt werden
EntitlementManagement Approve access package assignment request Anforderung genehmigt
EntitlementManagement Ready to fulfill access package assignment request Anforderung wurde genehmigt oder muss nicht genehmigt werden

Wenn ein Benutzer Zugriff zugewiesen wird, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement mit der AktivitätFulfill access package assignment. Der Benutzer, der Zugriff erhalten hat, wird durch das Feld ActorUserPrincipalName identifiziert.

Wenn kein Zugriff zugewiesen wurde, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement, wobei die Aktivität entweder Deny access package assignment request lautet, wenn die Anforderung von einer genehmigenden Person abgelehnt wurde, oder Access package assignment request timed out (no approver action taken), wenn bei der Anforderung ein Timeout aufgetreten ist, bevor sie von einer genehmigenden Person genehmigt werden konnte.

Wenn die Zugriffspaketzuweisung der Benutzer abläuft, von Benutzer abgebrochen oder von Administratoren entfernt wird, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement mit der AktivitätRemove access package assignment.

Herunterladen der Liste der verbundenen Organisationen

Erforderliche Rolle:Globaler Administrator oder Identity Governance-Administrator

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Verbundene Organisationen.

  3. Wählen Sie auf der Seite Verbundene Organisationen die Option Herunterladen aus.

Anzeigen von Ereignissen für ein Zugriffspaket

Wenn Sie die Konfiguration so vorgenommen haben, dass Überwachungsprotokollereignisse an Azure Monitor gesendet werden, können Sie die integrierten Arbeitsmappen und benutzerdefinierten Arbeitsmappen verwenden, um die in Azure Monitor gespeicherten Überwachungsprotokolle anzuzeigen.

Um Ereignisse für ein Zugriffspaket anzuzeigen, benötigen Sie Zugriff auf den zugrunde liegenden Azure Monitor-Arbeitsbereich (siehe Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor) und eine der folgenden Rollen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter
  • Berichtsleser
  • Anwendungsadministrator

  1. Wählen Sie im Microsoft Entra Admin Center die Option Identität und dann Arbeitsmappen unter Überwachung & Integrität aus. Wenn Sie nur über ein einziges Abonnement verfügen, fahren Sie mit Schritt 3 fort.

  2. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, das den Arbeitsbereich enthält.

  3. Wählen Sie die Arbeitsmappe Zugriffspaketaktivität aus.

  4. Wählen Sie in dieser Arbeitsmappe einen Zeitbereich aus (wenn Sie nicht sicher sind, ändern Sie die Einstellung in Alle), und wählen Sie in der Dropdownliste aller Zugriffspakete mit Aktivitäten für diesen eine Zugriffspaket-ID aus. Es werden die Ereignisse im Zusammenhang mit dem Zugriffspaket angezeigt, die während des ausgewählten Zeitbereichs auftraten.

    View access package events

    Jede Zeile enthält die Uhrzeit, die Zugriffspaket-ID, den Namen des Vorgangs, die Objekt-ID, den UPN und den Anzeigenamen des Benutzers, der den Vorgang gestartet hat. Weitere Details sind im JSON-Code enthalten.

  5. Wenn Sie überprüfen möchten, ob Änderungen an Anwendungsrollenzuweisungen für eine Anwendung vorgenommen wurden, die nicht auf Zugriffspaketzuweisungen zurückzuführen sind (wenn z. B. ein globaler Administrator einen Benutzer direkt einer Anwendungsrolle zugewiesen hat), können Sie die Arbeitsmappe mit dem Namen Aktivität der Anwendungsrollenzuweisung auswählen.

    View app role assignments

Nächste Schritte