Anzeigen von Berichten und Protokollen in der Berechtigungsverwaltung
Die Berichte der Berechtigungsverwaltung und das Microsoft Entra-Überwachungsprotokoll enthalten weitere Details zu den Ressourcen, auf die Benutzer Zugriff haben. Als Administrator können Sie die Zugriffspakete und Ressourcenzuweisungen für einen Benutzer sowie die Anforderungsprotokolle zu Überprüfungszwecken oder zum Ermitteln des Status einer Benutzeranforderung anzeigen. In diesem Artikel wird die Verwendung von Berichten der Berechtigungsverwaltung und von Microsoft Entra-Überwachungsprotokollen beschrieben.
Sehen Sie sich das folgende Video an, um zu erfahren, wie Sie in der Berechtigungsverwaltung anzeigen können, auf welche Ressourcen Benutzer Zugriff haben:
Anzeigen von Benutzern, die einem Zugriffspaket zugewiesen sind
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
In diesem Bericht können Sie alle Benutzer auflisten, die einem Zugriffspaket zugewiesen sind.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Wählen Sie auf der Seite „Zugriffspakete“ das gewünschte Zugriffspaket aus.
Wählen Sie im Menü links Zuweisungen und dann Herunterladen aus.
Bestätigen Sie den Dateinamen, und wählen Sie dann Herunterladen aus.
Anzeigen von Zugriffspaketen für einen Benutzer
Mit diesem Bericht können Sie alle Zugriffspakete auflisten, die ein Benutzer anfordern kann und die dem Benutzer derzeit zugewiesen sind.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Berichte.
Wählen Sie Zugriffspakete für einen Benutzer aus.
Wählen Sie Benutzer auswählen aus, um den Bereich „Benutzer auswählen“ zu öffnen.
Suchen Sie in der Liste nach dem Benutzer und wählen Sie dann Auswählen aus.
Auf der Registerkarte Kann anfordern wird eine Liste mit den Zugriffspaketen angezeigt, die der Benutzer anfordern kann. Diese Liste beruht auf den Anforderungsrichtlinien, die für die Zugriffspakete definiert sind.
Wenn es mehr als eine Ressourcenrolle oder Richtlinie für ein Zugriffspaket gibt, wählen Sie den Eintrag für die Ressourcenrollen bzw. Richtlinien aus, um die Auswahldetails anzuzeigen.
Wählen Sie die Registerkarte Zugewiesen aus, um eine Liste der Zugriffspakete anzuzeigen, die dem Benutzer derzeit zugewiesen sind. Wenn einem Benutzer ein Zugriffspaket zugewiesen ist, bedeutet dies, dass der Benutzer Zugriff auf alle Ressourcenrollen im Zugriffspaket hat.
Anzeigen der Ressourcenzuweisungen für einen Benutzer
Mit diesem Bericht können Sie die Ressourcen auflisten, die einem Benutzer derzeit in der Berechtigungsverwaltung zugewiesen sind. Dieser Bericht gilt für mit der Berechtigungsverwaltung verwaltete Ressourcen. Der Benutzer hat möglicherweise Zugriff auf andere Ressourcen in Ihrem Verzeichnis außerhalb der Berechtigungsverwaltung.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Berichte.
Wählen Sie Ressourcenzuweisungen für einen Benutzer aus.
Wählen Sie Benutzer auswählen aus, um den Bereich „Benutzer auswählen“ zu öffnen.
Suchen Sie in der Liste nach dem Benutzer und wählen Sie dann Auswählen aus.
Es wird eine Liste der Ressourcen angezeigt, die dem Benutzer aktuell zugewiesen sind. In der Liste werden auch das Zugriffspaket und die Richtlinie angezeigt, von denen die Ressourcenrolle stammt, sowie das Start-und Enddatum für den Zugriff.
Wenn ein Benutzer in zwei oder mehr Paketen Zugriff auf dieselbe Ressource hat, können Sie auf einen Pfeil wählen, um die einzelnen Pakete und Richtlinien anzuzeigen.
Ermitteln des Status einer Benutzeranforderung
Sie können das Microsoft Entra-Überwachungsprotokoll verwenden, um weitere Details darüber abzurufen, wie Benutzer Zugriff auf ein Zugriffspaket angefordert und erhalten haben. Insbesondere können Sie die Protokolleinträge in den Kategorien EntitlementManagement
und UserManagement
nutzen, um weitere Details zu den Verarbeitungsschritten für jede Anforderung zu erhalten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Überwachungsprotokolle.
Ändern Sie im oberen Bereich die Kategorie abhängig vom gewünschten Überwachungsdatensatz in
EntitlementManagement
oderUserManagement
.Wählen Sie Übernehmen.
Wählen Sie zum Herunterladen der Protokolle Herunterladen aus.
Wenn Microsoft Entra ID eine neue Anforderung empfängt, wird ein Überwachungsdatensatz geschrieben, in dem die KategorieEntitlementManagement
und die Aktivität in der Regel User requests access package assignment
lautet. Bei einer im Microsoft Entra Admin Center erstellten direkten Zuweisung heißt das Feld Aktivität des Überwachungsdatensatzes Administrator directly assigns user to access package
, und die Benutzerin oder der Benutzer, die/der die Zuweisung vornimmt, wird durch das Feld ActorUserPrincipalName identifiziert.
Während die Anforderung ausgeführt wird, schreibt Microsoft Entra ID zusätzliche Überwachungsdatensätze, die Folgendes umfassen:
Kategorie | Aktivität | Anfragestatus |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
Anforderung erfordert keine Genehmigung |
UserManagement |
Create request approval |
Anforderung muss genehmigt werden |
UserManagement |
Add approver to request approval |
Anforderung muss genehmigt werden |
EntitlementManagement |
Approve access package assignment request |
Anforderung genehmigt |
EntitlementManagement |
Ready to fulfill access package assignment request |
Anforderung wurde genehmigt oder muss nicht genehmigt werden |
Wenn eine Benutzerin oder ein Benutzer Zugriff erhält, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement
mit der Aktivität Fulfill access package assignment
. Der Benutzer, der Zugriff erhalten hat, wird durch das Feld ActorUserPrincipalName identifiziert.
Wenn kein Zugriff zugewiesen wurde, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement
, wobei die Aktivität entweder Deny access package assignment request
lautet, wenn die Anforderung von einer genehmigenden Person abgelehnt wurde, oder Access package assignment request timed out (no approver action taken)
, wenn bei der Anforderung ein Timeout aufgetreten ist, bevor sie von einer genehmigenden Person genehmigt werden konnte.
Wenn die Zugriffspaketzuweisung der Benutzer abläuft, von Benutzer abgebrochen oder von Administratoren entfernt wird, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement
mit der AktivitätRemove access package assignment
.
Herunterladen der Liste der verbundenen Organisationen
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Verbundene Organisationen.
Wählen Sie auf der Seite „Verbundene Organisationen“ die Option Herunterladen aus.
Anzeigen von Ereignissen für ein Zugriffspaket
Wenn Sie die Konfiguration so vorgenommen haben, dass Überwachungsprotokollereignisse an Azure Monitor gesendet werden, können Sie die integrierten Arbeitsmappen und benutzerdefinierten Arbeitsmappen verwenden, um die in Azure Monitor gespeicherten Überwachungsprotokolle anzuzeigen.
Um Ereignisse für ein Zugriffspaket anzuzeigen, benötigen Sie Zugriff auf den zugrunde liegenden Azure Monitor-Arbeitsbereich (siehe Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor) und eine der folgenden Rollen:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
- Meldet Reader
- Anwendungsadministrator
Wählen Sie im Microsoft Entra Admin Center die Option Identität und dann Arbeitsmappen unter Überwachung & Integrität aus. Wenn Sie nur über ein einziges Abonnement verfügen, fahren Sie mit Schritt 3 fort.
Wenn Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, das den Arbeitsbereich enthält.
Wählen Sie die Arbeitsmappe Zugriffspaketaktivität aus.
Wählen Sie in dieser Arbeitsmappe einen Zeitbereich aus (wenn Sie nicht sicher sind, ändern Sie die Einstellung in Alle), und wählen Sie in der Dropdownliste aller Zugriffspakete mit Aktivitäten für diesen eine Zugriffspaket-ID aus. Es werden die Ereignisse im Zusammenhang mit dem Zugriffspaket angezeigt, die während des ausgewählten Zeitbereichs auftraten.
Jede Zeile enthält die Uhrzeit, die Zugriffspaket-ID, den Namen des Vorgangs, die Objekt-ID, den UPN und den Anzeigenamen des Benutzers, der den Vorgang gestartet hat. Weitere Details sind im JSON-Code enthalten.
Wenn Sie überprüfen möchten, ob Änderungen an Anwendungsrollenzuweisungen für eine Anwendung vorgenommen wurden, die nicht auf Zugriffspaketzuweisungen zurückzuführen sind (wenn z. B. ein globaler Admin eine Benutzerin oder einen Benutzer direkt einer Anwendungsrolle zugewiesen hat), können Sie die Arbeitsmappe mit dem Namen Aktivität der Anwendungsrollenzuweisung auswählen.