권한 관리에서 보고서 및 로그 보기
권한 관리 보고서 및 Microsoft Entra 감사 로그는 사용자가 액세스할 수 있는 리소스에 대한 추가 정보를 제공합니다. 관리자는 사용자에 대한 액세스 패키지 및 리소스 할당을 보고, 감사 목적으로 요청 로그를 보거나 사용자의 요청 상태를 확인할 수 있습니다. 이 문서에서는 권한 관리 보고서 및 Microsoft Entra 감사 로그를 사용하는 방법을 설명합니다.
권한 관리에서 사용자가 액세스할 수 있는 리소스를 어떻게 확인하는지 알아보려면 다음 비디오를 시청하십시오.
액세스 패키지에 할당된 사용자 보기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
이 보고서를 사용하면 액세스 패키지에 할당된 모든 사용자를 나열할 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
액세스 패키지 페이지에서 원하는 액세스 패키지를 선택합니다.
왼쪽 메뉴에서 과제를 선택한 다음 다운로드를 선택합니다.
파일 이름을 확인한 다음 다운로드를 클릭합니다.
사용자의 액세스 패키지 보기
이 보고서를 사용하면 사용자가 요청할 수 있는 모든 액세스 패키지와 현재 사용자에게 할당된 액세스 패키지를 나열할 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>보고서로 이동합니다.
사용자를 위한 액세스 패키지를 선택합니다.
사용자 선택을 선택하여 사용자 선택 창을 엽니다.
목록에서 사용자를 찾은 다음 선택을 선택합니다.
요청 가능 탭에는 사용자가 요청할 수 있는 액세스 패키지 목록이 표시됩니다. 이 목록은 액세스 패키지에 정의된 요청 정책에 따라 결정됩니다.
액세스 패키지의 리소스 역할이나 정책이 하나 이상인 경우 리소스 역할이나 정책 항목을 선택하여 선택 세부 정보를 확인하십시오.
할당 탭을 선택하여 현재 사용자에게 할당된 액세스 패키지의 목록을 확인합니다. 액세스 패키지가 사용자에게 할당된 경우 사용자는 액세스 패키지의 모든 리소스 역할에 액세스할 수 있습니다.
사용자의 리소스 할당 보기
이 보고서를 사용하도록 설정하면 권한 관리에서 사용자에게 현재 할당된 리소스를 나열할 수 있습니다. 이 보고서는 권한 관리로 관리되는 리소스에 대한 것입니다. 사용자는 권한 관리 외부의 디렉터리에 있는 다른 리소스에 액세스할 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>보고서로 이동합니다.
사용자에 대한 리소스 할당을 선택합니다.
사용자 선택을 선택하여 사용자 선택 창을 엽니다.
목록에서 사용자를 찾은 다음 선택을 선택합니다.
현재 사용자에게 할당된 리소스 목록이 표시됩니다. 이 목록에는 액세스에 대한 시작 및 종료 날짜와 함께 리소스 역할을 받은 액세스 패키지와 정책도 표시됩니다.
사용자가 동일한 리소스에 두 개 이상의 패키지에서 액세스할 수 있는 경우 화살표를 선택하여 각 패키지와 정책을 볼 수 있습니다.
사용자의 요청 상태 확인
사용자가 액세스 패키지에 대한 액세스를 요청하고 수신하는 방법에 대한 자세한 내용을 보려면 Microsoft Entra 감사 로그를 사용할 수 있습니다. 특히 EntitlementManagement 및 UserManagement 범주의 로그 레코드를 사용하여 각 요청의 처리 단계에 대한 추가 세부 정보를 가져올 수 있습니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>감사 로그로 이동합니다.
찾고 있는 감사 레코드에 따라 위쪽에서 범주를
EntitlementManagement또는UserManagement로 변경합니다.적용을 선택합니다.
로그를 다운로드하려면 다운로드를 선택합니다.
Microsoft Entra ID가 새 요청을 받으면 범주가 EntitlementManagement이며 작업이 일반적으로 User requests access package assignment인 감사 레코드를 작성합니다. Microsoft Entra 관리 센터에서 생성된 직접 할당의 경우 감사 레코드의 작업 필드는 Administrator directly assigns user to access package이고 할당을 수행하는 사용자는 ActorUserPrincipalName으로 식별됩니다.
Microsoft Entra ID는 요청이 진행되는 동안 다음을 포함하여 추가 감사 레코드를 작성합니다.
| 범주 | 활동 | 요청 상태 |
|---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
요청에는 승인이 필요하지 않습니다. |
UserManagement |
Create request approval |
요청에 승인이 필요함 |
UserManagement |
Add approver to request approval |
요청에 승인이 필요함 |
EntitlementManagement |
Approve access package assignment request |
요청이 승인됨 |
EntitlementManagement |
Ready to fulfill access package assignment request |
요청이 승인되었거나 승인이 필요하지 않습니다. |
사용자에게 액세스가 할당되면 Microsoft Entra ID는 EntitlementManagement 범주에 대한 작업Fulfill access package assignment이 있는 감사 레코드를 작성합니다. 액세스를 받은 사용자는 ActorUserPrincipalName 필드로 식별됩니다.
액세스가 할당되지 않은 경우 Microsoft Entra ID는 활동이 있는 EntitlementManagement 범주에 대한 감사 레코드를 기록하거나, 승인자가 요청을 거부한 경우 Deny access package assignment request 또는 승인자가 요청을 승인하기 전에 시간 초과된 경우 Access package assignment request timed out (no approver action taken).
사용자의 액세스 패키지 할당이 만료되거나 사용자가 취소하거나 관리자가 제거하면 Microsoft Entra ID는 Remove access package assignment의 활동이 포함된 EntitlementManagement 범주의 감사 레코드를 작성합니다.
연계기관 목록 다운로드
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>연결된 조직으로 이동합니다.
연결된 조직 페이지에서 다운로드를 선택합니다.
액세스 패키지에 대한 이벤트 보기
감사 로그 이벤트를 Azure Monitor로 보내도록 구성한 경우 기본 제공 통합 문서 및 사용자 지정 통합 문서를 사용하여 Azure Monitor에 보존된 감사 로그를 볼 수 있습니다.
액세스 패키지에 대한 이벤트를 보려면 기본 Azure Monitor 작업 영역에 대한 액세스 권한(정보는 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리 참조)과 다음 역할 중 하나를 보유하고 있어야 합니다.
- 전역 관리자
- 보안 관리자
- 보안 판독기
- 보고서 읽기 권한자
- 애플리케이션 관리자
Microsoft Entra 관리 센터에서 ID를 선택한 다음 모니터링 및 상태 아래에서 통합 문서를 선택합니다. 구독이 하나만 있는 경우 3단계로 이동 합니다.
구독이 여러 개 있는 경우 작업 영역이 포함된 구독을 선택합니다.
액세스 패키지 작업이라는 통합 문서를 선택합니다.
해당 통합 문서에서 시간 범위를 선택(확실하지 않은 경우 모두로 변경)하고 해당 시간 범위 중에 작업이 포함된 모든 액세스 패키지의 드롭다운 목록에서 액세스 패키지 ID를 선택합니다. 선택한 시간 범위 중에 발생한 액세스 패키지와 관련 있는 이벤트가 표시됩니다.
각 행에는 시간, 액세스 패키지 ID, 작업 이름, 개체 ID, UPN 및 작업을 시작한 사용자의 표시 이름이 포함됩니다. 추가 세부 정보는 JSON에 포함되어 있습니다.
전역 관리자가 사용자를 애플리케이션 역할에 직접 할당하는 경우와 같이, 액세스 패키지 할당으로 인해 생성되지 않은 애플리케이션에 대한 애플리케이션 역할 할당이 변경되었는지 확인하려면 애플리케이션 역할 할당 작업이라는 통합 문서를 선택할 수 있습니다.
