Visualización de informes y registros en la administración de derechos
Los informes de administración de derechos y el registro de auditoría de Microsoft Entra proporcionan más detalles sobre los recursos a los que tienen acceso los usuarios. Como administrador, puede ver los paquetes de acceso y las asignaciones de recursos para un usuario. Además, puede ver los registros de solicitudes para auditarlos o determinar el estado de la solicitud de un usuario. En este artículo se describe cómo usar los informes de administración de derechos y los registros de auditoría de Microsoft Entra.
Vea el siguiente vídeo para obtener información sobre cómo ver los recursos a los que tienen acceso los usuarios en la administración de derechos:
Visualización de usuarios asignados a un paquete de acceso
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Este informe le permite enumerar todos los usuarios que están asignados a un paquete de acceso.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.
En la página Paquetes de acceso, seleccione el paquete de acceso de interés.
En el menú de la izquierda, seleccione Asignaciones y, a continuación, seleccione Descargar.
Confirme el nombre de archivo y seleccione Descargar.
Consulta de los paquetes de acceso de un usuario
Este informe le permite mostrar todos los paquetes de acceso que puede solicitar un usuario y los paquetes de acceso asignados actualmente al usuario.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Administración de derechos>Informes.
Seleccione Paquetes de acceso de un usuario.
Elija Seleccionar usuarios para abrir el panel de selección de usuarios.
Busque el usuario en la lista y, luego, elija Seleccionar.
En la pestaña Puede solicitar se muestra una lista de los paquetes de acceso que puede solicitar el usuario. Esta lista viene determinada por las directivas de solicitud definidas para los paquetes de acceso.
Si hay más de un rol o directiva de recursos para un paquete de acceso, seleccione la entrada de roles o directivas de recursos para ver los detalles de la selección.
Seleccione la pestaña Asignado para ver una lista de los paquetes de acceso asignados actualmente al usuario. Si se asigna un paquete de acceso a un usuario, significa que el usuario tiene acceso a todos los roles de recurso del paquete de acceso.
Consulta de las asignaciones de recursos de un usuario
Este informe le permite mostrar los recursos asignados actualmente a un usuario en la administración de derechos. Este informe es para recursos administrados con la administración de derechos. El usuario podría tener acceso a otros recursos de su directorio fuera de la administración de derechos.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Administración de derechos>Informes.
Seleccione Asignaciones de recursos de un usuario.
Elija Seleccionar usuarios para abrir el panel de selección de usuarios.
Busque el usuario en la lista y, luego, elija Seleccionar.
Se muestra una lista de los recursos asignados actualmente al usuario. En la lista también se muestran el paquete de acceso y la directiva de la que se obtuvo el rol de recurso, junto con la fecha de inicio y finalización para el acceso.
Si un usuario obtuvo acceso al mismo recurso en dos o más paquetes, puede seleccionar una flecha para ver cada paquete y directiva.
Determinar el estado de la solicitud de un usuario
Para obtener detalles adicionales sobre cómo un usuario solicitó y recibió acceso a un paquete de acceso, puede usar el registro de auditoría de Microsoft Entra. En concreto, puede usar los registros de registro en las categorías EntitlementManagement
y UserManagement
para obtener más detalles sobre los pasos de procesamiento de cada solicitud.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Gobernanza de identidades>Administración de derechos>Registros de auditoría.
En la parte superior, cambie el valor de Categoría a
EntitlementManagement
oUserManagement
, según el registro de auditoría que esté buscando.Seleccione Aplicar.
Para descargar los registros, seleccione Descargar.
Cuando Microsoft Entra ID recibe una solicitud nueva, escribe un registro de auditoría, donde el valor de Categoría es EntitlementManagement
y el de Actividad suele ser User requests access package assignment
. Si se trata de una asignación directa creada en el centro de administración de Microsoft Entra, el campo Actividad del registro de auditoría es Administrator directly assigns user to access package
, y el usuario que realiza la asignación se identifica por el ActorUserPrincipalName.
Microsoft Entra ID escribe registros de auditoría adicionales mientras la solicitud está en curso, entre las que se incluyen:
Category | Actividad | Estado de la solicitud |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
La solicitud no requiere aprobación |
UserManagement |
Create request approval |
La solicitud requiere aprobación |
UserManagement |
Add approver to request approval |
La solicitud requiere aprobación |
EntitlementManagement |
Approve access package assignment request |
Solicitud aprobada |
EntitlementManagement |
Ready to fulfill access package assignment request |
Solicitud aprobada o no requiere aprobación |
Cuando se asigna el acceso a un usuario, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement
con Actividad Fulfill access package assignment
. El usuario que recibe el acceso se identifica mediante el campo ActorUserPrincipalName.
Si no se ha asignado el acceso, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement
con Actividad establecido en Deny access package assignment request
, si un aprobador ha denegado la solicitud, o en Access package assignment request timed out (no approver action taken)
, si la solicitud ha agotado el tiempo de espera antes de un aprobador pueda aprobarla.
Cuando la asignación de paquetes de acceso del usuario expira, la cancela el usuario o la quita un administrador, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement
con Actividad establecido en Remove access package assignment
.
Descargue de la lista de organizaciones conectadas
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.
Vaya a Administración de derechos> de gobernanza de identidades>Organizaciones conectadas.
En la página organizaciones conectadas, seleccione Descargar.
Ver los eventos de un paquete de acceso
Si ha configurado para enviar eventos de registro de auditoría a Azure Monitor, puede usar los libros integrados y los libros personalizados para ver los registros de auditoría retenidos en Azure Monitor.
Para ver los eventos de un paquete de acceso, debe tener acceso al área de trabajo subyacente de Azure Monitor (consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor para obtener información) y en uno de los roles siguientes:
- Administrador global
- Administrador de seguridad
- Lector de seguridad
- Lector de informes
- Administrador de aplicaciones
En el centro de administración de Microsoft Entra, seleccione Identidad y, después, Libros en Supervisión y estado. Si solo tiene una suscripción, vaya al paso 3.
Si tiene varias suscripciones, seleccione la suscripción que contenga el área de trabajo.
Seleccione el libro llamado Actividad de acceso a paquetes.
En ese libro, seleccione un intervalo de tiempo (cambie a Todo si no está seguro) y seleccione un identificador de paquete de acceso en la lista desplegable de todos los paquetes de acceso que tenían actividad durante ese intervalo de tiempo. Se mostrarán los eventos relacionados con el paquete de acceso que se produjeron durante el intervalo de tiempo seleccionado.
Cada fila incluye la hora, el identificador de paquete de acceso, el nombre de la operación, el identificador de objeto, el UPN y el nombre para mostrar del usuario que inició la operación. En JSON se incluyen más detalles.
Si quiere ver si ha habido cambios en las asignaciones de roles de aplicación para una aplicación cuya causa no fueron asignaciones de paquetes de acceso, como, por ejemplo, a través de un administrador global que asigna directamente un usuario a un rol de aplicación, puede seleccionar el libro denominado Actividad de asignación de roles de aplicación.