Rapporten en logboeken weergeven in rechtenbeheer
De rechtenbeheerrapporten en het Auditlogboek van Microsoft Entra bieden meer informatie over de resources waartoe gebruikers toegang hebben. Als beheerder kunt u de toegangspakketten en resourcetoewijzingen voor een gebruiker bekijken en aanvraaglogboeken weergeven voor controledoeleinden of de status van de aanvraag van een gebruiker bepalen. In dit artikel wordt beschreven hoe u de rechtenbeheerrapporten en microsoft Entra-auditlogboeken gebruikt.
Bekijk de volgende video om te zien tot welke resources gebruikers toegang hebben in rechtenbeheer:
Gebruikers weergeven die zijn toegewezen aan een toegangspakket
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Met dit rapport kunt u alle gebruikers weergeven die zijn toegewezen aan een toegangspakket.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar toegangspakketten voor identiteitsbeheerrechten>>.
Selecteer op de pagina Access-pakketten het toegangspakket van belang.
Selecteer Opdrachten in het linkermenu en selecteer Vervolgens Downloaden.
Bevestig de bestandsnaam en selecteer Vervolgens Downloaden.
Toegangspakketten voor een gebruiker weergeven
Met dit rapport kunt u alle toegangspakketten weergeven die een gebruiker kan aanvragen en de toegangspakketten die momenteel aan de gebruiker zijn toegewezen.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar beheerrapporten voor identiteitsbeheerrechten>>.
Selecteer Access-pakketten voor een gebruiker.
Selecteer Gebruikers selecteren om het deelvenster Gebruikers selecteren te openen.
Zoek de gebruiker in de lijst en selecteer Selecteren.
Op het tabblad Kan aanvragen wordt een lijst weergegeven met de toegangspakketten die de gebruiker kan aanvragen. Deze lijst wordt bepaald door het aanvraagbeleid dat is gedefinieerd voor de toegangspakketten.
Als er meer dan één resourcerollen of beleid zijn voor een toegangspakket, selecteert u de vermelding resourcerollen of beleidsregels om de selectiedetails te bekijken.
Selecteer het tabblad Toegewezen om een lijst weer te geven van de toegangspakketten die momenteel aan de gebruiker zijn toegewezen. Wanneer een toegangspakket wordt toegewezen aan een gebruiker, betekent dit dat de gebruiker toegang heeft tot alle resourcerollen in het toegangspakket.
Resourcetoewijzingen voor een gebruiker weergeven
Met dit rapport kunt u de resources weergeven die momenteel zijn toegewezen aan een gebruiker in rechtenbeheer. Dit rapport is bedoeld voor resources die worden beheerd met rechtenbeheer. De gebruiker heeft mogelijk toegang tot andere resources in uw directory buiten rechtenbeheer.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar beheerrapporten voor identiteitsbeheerrechten>>.
Selecteer Resourcetoewijzingen voor een gebruiker.
Selecteer Gebruikers selecteren om het deelvenster Gebruikers selecteren te openen.
Zoek de gebruiker in de lijst en selecteer Selecteren.
Er wordt een lijst weergegeven met de resources die momenteel aan de gebruiker zijn toegewezen. De lijst bevat ook het toegangspakket en het beleid waaruit ze de resourcerol hebben gekregen, samen met de begin- en einddatum voor toegang.
Als een gebruiker toegang heeft gekregen tot dezelfde resource in twee of meer pakketten, kunt u een pijl selecteren om elk pakket en elk beleid te zien.
De status van de aanvraag van een gebruiker bepalen
Als u meer informatie wilt over hoe een gebruiker toegang tot een toegangspakket heeft aangevraagd en ontvangen, kunt u het Auditlogboek van Microsoft Entra gebruiken. U kunt met name de logboekrecords in de EntitlementManagement
en UserManagement
categorieën gebruiken om meer informatie te krijgen over de verwerkingsstappen voor elke aanvraag.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar auditlogboeken voor rechtenbeheer voor identiteitsbeheer>>.
Wijzig bovenaan de Categorie in
EntitlementManagement
ofUserManagement
, afhankelijk van de auditrecord die u zoekt.Selecteer Toepassen.
Selecteer Downloaden om de logboeken te downloaden.
Wanneer Microsoft Entra ID een nieuwe aanvraag ontvangt, wordt er een controlerecord geschreven waarin de categorie zich bevindt EntitlementManagement
en de activiteit doorgaans User requests access package assignment
is. Als er een directe toewijzing is gemaakt in het Microsoft Entra-beheercentrum, is het veld Activiteit van de auditrecord en wordt de gebruiker die de toewijzing uitvoert geïdentificeerd door de ActorUserPrincipalName.Administrator directly assigns user to access package
Microsoft Entra ID schrijft extra controlerecords terwijl de aanvraag wordt uitgevoerd, waaronder:
Categorie | Activiteit | Aanvraagstatus |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
Voor de aanvraag is geen goedkeuring vereist |
UserManagement |
Create request approval |
Aanvraag vereist goedkeuring |
UserManagement |
Add approver to request approval |
Aanvraag vereist goedkeuring |
EntitlementManagement |
Approve access package assignment request |
Aanvraag goedgekeurd |
EntitlementManagement |
Ready to fulfill access package assignment request |
Aanvraag goedgekeurd of vereist geen goedkeuring |
Wanneer een gebruiker toegang krijgt, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement
categorie met ActiviteitFulfill access package assignment
. De gebruiker die de toegang heeft ontvangen, wordt geïdentificeerd door het veld ActorUserPrincipalName.
Als er geen toegang is toegewezen, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement
categorie met ActiviteitDeny access package assignment request
, als de aanvraag is geweigerd door een fiatteur, of Access package assignment request timed out (no approver action taken)
als er een time-out optreedt voordat een fiatteur een goedkeurde aanvraag kon goedkeuren.
Wanneer de toewijzing van het toegangspakket van de gebruiker verloopt, wordt geannuleerd door de gebruiker of verwijderd door een beheerder, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement
categorie met Activiteit van Remove access package assignment
.
Lijst met verbonden organisaties downloaden
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar Verbonden organisaties voor identiteitsbeheerrechten>>.
Selecteer Downloaden op de pagina Verbonden organisaties.
Gebeurtenissen voor een toegangspakket weergeven
Als u hebt geconfigureerd dat auditlogboekgebeurtenissen naar Azure Monitor worden verzonden, kunt u de ingebouwde werkmappen en aangepaste werkmappen gebruiken om de auditlogboeken weer te geven die in Azure Monitor worden bewaard.
Als u gebeurtenissen voor een toegangspakket wilt weergeven, moet u toegang hebben tot de onderliggende Azure Monitor-werkruimte (zie Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor informatie) en in een van de volgende rollen:
- Globale beheerder
- Beveiligingsbeheer
- Beveiligingslezer
- Rapportenlezer
- Toepassingsbeheerder
Selecteer Identiteit in het Microsoft Entra-beheercentrum en selecteer vervolgens Werkmappen onder Bewaking en status. Als u slechts één abonnement hebt, gaat u verder met stap 3.
Als u meerdere abonnementen hebt, selecteert u het abonnement met de werkruimte.
Selecteer de werkmap met de naam Activiteit van toegangspakket.
Selecteer in die werkmap een tijdsbereik (wijzig in Alle als u dit niet zeker weet) en selecteer een toegangspakket-id in de vervolgkeuzelijst met alle toegangspakketten die tijdens dat tijdsbereik activiteiten hadden. De gebeurtenissen met betrekking tot het toegangspakket die hebben plaatsgevonden tijdens het geselecteerde tijdsbereik, worden weergegeven.
Elke rij bevat de tijd, toegangspakket-id, de naam van de bewerking, de object-id, UPN en de weergavenaam van de gebruiker die de bewerking heeft gestart. Meer informatie vindt u in JSON.
Als u wilt zien of er wijzigingen zijn aangebracht in toepassingsroltoewijzingen voor een toepassing die niet te wijten was aan toegang tot pakkettoewijzingen, zoals door een globale beheerder die een gebruiker rechtstreeks toewijst aan een toepassingsrol, kunt u de werkmap met de naam Toepassingsrolactiviteit selecteren.