Menampilkan laporan dan log dalam pengelolaan pemberian izin
Laporan pengelolaan pemberian hak dan log audit Microsoft Entra memberikan detail selengkapnya tentang sumber daya apa yang dapat diakses pengguna. Sebagai administrator, Anda dapat melihat paket akses dan penetapan sumber daya untuk pengguna dan melihat log permintaan untuk tujuan audit atau menentukan status permintaan pengguna. Artikel ini menjelaskan cara menggunakan laporan pengelolaan pemberian hak dan log audit Microsoft Entra.
Tonton video berikut untuk mempelajari cara melihat sumber daya apa yang dapat diakses pengguna dalam pengelolaan pemberian hak:
Menampilkan pengguna yang ditetapkan ke paket akses
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Laporan ini memungkinkan Anda untuk mencantumkan semua pengguna yang ditetapkan ke paket akses.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses, pilih paket akses yang menarik.
Di menu sebelah kiri, pilih Penugasan, lalu pilih Unduh.
Konfirmasikan nama file lalu pilih Unduh.
Melihat paket akses untuk pengguna
Laporan ini memungkinkan Anda mencantumkan semua paket akses yang dapat meminta pengguna dan paket akses yang saat ini ditetapkan untuk pengguna.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri laporan pengelolaan>pemberian izin tata kelola>identitas.
Pilih Paket akses untuk pengguna.
Pilih Pilih pengguna untuk membuka panel Pilih pengguna.
Temukan pengguna dalam daftar lalu pilih Pilih.
Tab Dapat meminta menampilkan daftar paket akses yang dapat diminta pengguna. Daftar ini ditentukan oleh kebijakan permintaan yang ditentukan untuk paket akses.
Jika ada lebih dari satu peran atau kebijakan sumber daya untuk paket akses, pilih peran sumber daya atau entri kebijakan untuk melihat detail pilihan.
Pilih tab Ditetapkan untuk melihat daftar paket akses yang saat ini ditetapkan untuk pengguna. Ketika paket akses ditetapkan untuk pengguna, artinya pengguna memiliki akses ke semua peran sumber daya dalam paket akses.
Menampilkan penugasan sumber daya untuk pengguna
Laporan ini memungkinkan Anda mencantumkan sumber daya yang saat ini ditetapkan untuk pengguna dalam pengelolaan pemberian hak. Laporan ini untuk sumber daya yang dikelola dengan pengelolaan pemberian izin. Pengguna mungkin memiliki akses ke sumber daya lain di direktori Anda di luar pengelolaan pemberian hak.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri laporan pengelolaan>pemberian izin tata kelola>identitas.
Pilih Penetapan sumber daya untuk pengguna.
Pilih Pilih pengguna untuk membuka panel Pilih pengguna.
Temukan pengguna dalam daftar lalu pilih Pilih.
Daftar sumber daya yang saat ini ditetapkan untuk pengguna ditampilkan. Daftar ini juga menunjukkan paket akses dan kebijakan tempat mereka mendapatkan peran sumber daya, beserta tanggal mulai dan selesai untuk akses.
Jika pengguna mendapatkan akses ke sumber daya yang sama dalam dua paket atau lebih, Anda dapat memilih panah untuk melihat setiap paket dan kebijakan.
Menentukan status permintaan pengguna
Untuk mendapatkan detail tambahan tentang cara pengguna meminta dan menerima akses ke paket akses, Anda dapat menggunakan log audit Microsoft Entra. Secara khusus, Anda dapat menggunakan rekaman log dalam EntitlementManagement
kategori dan UserManagement
untuk mendapatkan detail selengkapnya tentang langkah-langkah pemrosesan untuk setiap permintaan.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke log Audit pengelolaan>pemberian hak tata kelola>identitas.
Di bagian atas, ubah Kategori menjadi
EntitlementManagement
atauUserManagement
, tergantung pada rekaman audit yang Anda cari.Pilih Terapkan.
Untuk mengunduh log, pilih Unduh.
Ketika MICROSOFT Entra ID menerima permintaan baru, id tersebut menulis catatan audit, di mana Kategori berada EntitlementManagement
dan Aktivitas biasanya User requests access package assignment
. Jika penetapan langsung yang dibuat di pusat admin Microsoft Entra, bidang Aktivitas rekaman audit adalah Administrator directly assigns user to access package
, dan pengguna yang melakukan penugasan diidentifikasi oleh ActorUserPrincipalName.
ID Microsoft Entra menulis catatan audit tambahan saat permintaan sedang berlangsung, termasuk:
Kategori | Tinggi | Status permintaan |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
Permintaan tidak memerlukan persetujuan |
UserManagement |
Create request approval |
Permintaan memerlukan persetujuan |
UserManagement |
Add approver to request approval |
Permintaan memerlukan persetujuan |
EntitlementManagement |
Approve access package assignment request |
Permintaan disetujui |
EntitlementManagement |
Ready to fulfill access package assignment request |
Permintaan disetujui, atau tidak memerlukan persetujuan |
Saat pengguna diberi akses, MICROSOFT Entra ID menulis catatan audit untuk EntitlementManagement
kategori dengan Aktivitas Fulfill access package assignment
. Pengguna yang menerima akses diidentifikasi oleh bidang ActorUserPrincipalName.
Jika akses tidak ditetapkan, ID Microsoft Entra menulis catatan audit untuk EntitlementManagement
kategori dengan Aktivitas baik Deny access package assignment request
, jika permintaan ditolak oleh pemberi izin, atau Access package assignment request timed out (no approver action taken)
, jika waktu permintaan habis sebelum pemberi persetujuan dapat menyetujui.
Ketika penetapan paket akses pengguna kedaluwarsa, dibatalkan oleh pengguna, atau dihapus oleh administrator, maka ID Microsoft Entra menulis catatan audit untuk EntitlementManagement
kategori dengan Aktivitas Remove access package assignment
.
Mengunduh daftar organisasi yang tersambung
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke Pengelolaan>pemberian izin Tata Kelola>identitas Organisasi yang tersambung.
Pada halaman Organisasi tersambung, pilih Unduh.
Melihat kejadian untuk paket akses
Jika Anda telah mengonfigurasi untuk mengirim peristiwa log audit ke Azure Monitor, maka Anda bisa menggunakan buku kerja bawaan dan buku kerja kustom untuk menampilkan log audit yang disimpan di Azure Monitor.
Untuk melihat kejadian untuk paket akses, Anda harus memiliki akses ke ruang kerja monitor Azure yang mendasari (lihat Mengelola akses ke data log dan ruang kerja di Azure Monitor untuk informasi) dan dalam salah satu peran berikut:
- Administrator Global
- Administrator Keamanan
- Pembaca Keamanan
- Pembaca Laporan
- Administrator Aplikasi
Di pusat admin Microsoft Entra, pilih Identitas lalu pilih Buku Kerja di bawah Pemantauan &kesehatan. Jika Anda hanya memiliki satu langganan, pindahkan lanjutkan ke langkah 3.
Jika Anda memiliki beberapa langganan, pilih langganan yang berisi ruang kerja.
Pilih buku kerja bernama Aktivitas Paket Akses.
Dalam buku kerja tersebut, pilih rentang waktu (ubah ke Semua jika tidak yakin), dan pilih ID paket akses dari daftar tarik-turun semua paket akses yang memiliki aktivitas selama rentang waktu tersebut. Kejadian yang terkait dengan paket akses yang terjadi selama rentang waktu yang dipilih akan ditampilkan.
Setiap baris mencakup waktu, ID paket akses, nama operasi, id objek, nama prinsipal pengguna, dan nama tampilan pengguna yang memulai operasi. Detail selengkapnya disertakan dalam JSON.
Jika Anda ingin melihat apakah ada perubahan pada penetapan peran aplikasi untuk aplikasi yang bukan karena penetapan paket akses, seperti oleh Administrator Global yang secara langsung menetapkan pengguna ke peran aplikasi, maka Anda dapat memilih buku kerja bernama aktivitas penetapan peran Aplikasi.