Rapporten en logboeken bekijken in autorisatiebeheer

De rechtenbeheerrapporten en het Auditlogboek van Microsoft Entra bieden meer informatie over de resources waartoe gebruikers toegang hebben. Als beheerder kunt u de toegangspakketten en resourcetoewijzingen voor een gebruiker bekijken en aanvraaglogboeken weergeven voor controledoeleinden of de status van de aanvraag van een gebruiker bepalen. In dit artikel wordt beschreven hoe u de rechtenbeheerrapporten en microsoft Entra-auditlogboeken gebruikt.

In dit artikel wordt beschreven hoe u rapporten kunt weergeven over huidige objecten in rechtenbeheer. Als u historische Microsoft Entra-objecten, zoals gebruikers of toepassingsroltoewijzingen, wilt behouden en rapporteren, raadpleegt u Aangepaste rapporten in Azure Data Explorer (ADX) met behulp van gegevens van Microsoft Entra ID.

Bekijk de volgende video om te zien tot welke resources gebruikers toegang hebben in rechtenbeheer:

Gebruikers weergeven die zijn toegewezen aan een toegangspakket

Met dit rapport kunt u alle gebruikers weergeven die zijn toegewezen aan een toegangspakket.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Blader naar ID-beheer>machtigingenbeheer>toegangspakketten.

3. Selecteer op de pagina Access-pakketten het toegangspakket van belang.

4. Selecteer Opdrachten in het linkermenu en kies Downloaden.

5. Bevestig de bestandsnaam en selecteer Vervolgens Downloaden.

Toegangspakketten voor een gebruiker weergeven

Met dit rapport kunt u alle toegangspakketten weergeven die een gebruiker kan aanvragen en de toegangspakketten die momenteel aan de gebruiker zijn toegewezen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Navigeer naar ID Governance>Beheermachtigingen>Rapporten.

3. Selecteer Access-pakketten voor een gebruiker.

4. Selecteer Gebruikers selecteren om het deelvenster Gebruikers selecteren te openen.

5. Zoek de gebruiker in de lijst en selecteer Selecteren.

   Op het tabblad Kan aanvragen wordt een lijst weergegeven met de toegangspakketten die de gebruiker kan aanvragen. Deze lijst wordt bepaald door het aanvraagbeleid dat is gedefinieerd voor de toegangspakketten.

   

6. Als er meer dan één resourcerollen of beleid zijn voor een toegangspakket, selecteert u de vermelding resourcerollen of beleidsregels om de selectiedetails te bekijken.

7. Selecteer het tabblad Toegewezen om een lijst weer te geven van de toegangspakketten die momenteel aan de gebruiker zijn toegewezen. Wanneer een toegangspakket wordt toegewezen aan een gebruiker, betekent dit dat de gebruiker toegang heeft tot alle resourcerollen in het toegangspakket.

Resourcetoewijzingen voor een gebruiker weergeven

Met dit rapport kunt u de resources weergeven die momenteel zijn toegewezen aan een gebruiker in rechtenbeheer. Dit rapport is bedoeld voor resources die worden beheerd met toegangsbeheer. De gebruiker heeft mogelijk toegang tot andere resources in uw directory buiten rechtenbeheer.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Navigeer naar ID Governance>Toegangsbeheer>Rapporten.

3. Selecteer Resourcetoewijzingen voor een gebruiker.

4. Selecteer Gebruikers selecteren om het deelvenster Gebruikers selecteren te openen.

5. Zoek de gebruiker in de lijst en selecteer Selecteren.

   Er wordt een lijst weergegeven met de resources die momenteel aan de gebruiker zijn toegewezen. De lijst bevat ook het toegangspakket en het beleid waaruit ze de hulprol hebben gekregen, samen met de begin- en einddatum van toegang.

   Als een gebruiker toegang heeft gekregen tot dezelfde resource in twee of meer pakketten, kunt u een pijl selecteren om elk pakket en elk beleid te zien.

   

De status van de aanvraag van een gebruiker bepalen

Als u meer informatie wilt over hoe een gebruiker toegang tot een toegangspakket heeft aangevraagd en ontvangen, kunt u het Auditlogboek van Microsoft Entra gebruiken. U kunt met name de logboekrecords in de EntitlementManagement en UserManagement categorieën gebruiken om meer informatie te krijgen over de verwerkingsstappen voor elke aanvraag.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Blader naar ID Beheer>Toegangsbeheer>Auditlogs.

3. Wijzig bovenaan de categorie naar EntitlementManagement of UserManagement, afhankelijk van de audit record die u zoekt.

4. Selecteer Toepassen.

5. Selecteer Downloaden om de logboeken te downloaden.

Wanneer Microsoft Entra ID een nieuwe aanvraag ontvangt, wordt er een controlerecord geschreven waarin de categorie zich bevindt EntitlementManagement en de activiteit doorgaans User requests access package assignmentis. Als er een directe toewijzing is gemaakt in het Microsoft Entra-beheercentrum, is Administrator directly assigns user to access packagehet veld Activiteit van de auditrecord en wordt de gebruiker die de toewijzing uitvoert geïdentificeerd door de ActorUserPrincipalName.

Microsoft Entra ID schrijft extra controlerecords terwijl de aanvraag wordt uitgevoerd, waaronder:

Categorie	Activiteit	Aanvraagstatus
EntitlementManagement	Auto approve access package assignment request	Voor de aanvraag is geen goedkeuring vereist
UserManagement	Create request approval	Aanvraag vereist goedkeuring
UserManagement	Add approver to request approval	Aanvraag vereist goedkeuring
EntitlementManagement	Approve access package assignment request	Aanvraag goedgekeurd
EntitlementManagement	Ready to fulfill access package assignment request	Aanvraag goedgekeurd of vereist geen goedkeuring

Wanneer een gebruiker toegang krijgt, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement categorie met ActiviteitFulfill access package assignment. De gebruiker die de toegang heeft ontvangen, wordt geïdentificeerd door het veld ActorUserPrincipalName .

Als er geen toegang is toegewezen, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement categorie met ActiviteitDeny access package assignment request, als de aanvraag is geweigerd door een goedkeurder, of Access package assignment request timed out (no approver action taken), als er een time-out optreedt voordat een goedkeurder de aanvraag kon goedkeuren.

Wanneer de toewijzing van het toegangspakket van de gebruiker verloopt, wordt geannuleerd door de gebruiker of verwijderd door een beheerder, schrijft Microsoft Entra ID een auditrecord voor de EntitlementManagement categorie met Activiteit van Remove access package assignment.

De lijst met verbonden organisaties downloaden

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Blader naar Id Governance>Rechtenbeheer>Verbonden organisaties.

3. Selecteer Downloaden op de pagina Verbonden organisaties.

Gebruikers identificeren die momenteel of in de toekomst niet-compatibele toegang hebben met betrekking tot de scheiding van taken.

Met de scheiding van taakinstellingen voor een toegangspakket kunt u configureren dat een gebruiker die lid is van een beveiligingsgroep of die al een toewijzing aan het ene toegangspakket heeft, geen ander toegangspakket kan aanvragen door deze als niet-compatibel te markeren. Vervolgens kunt u toegangspakketten weergeven die zijn geconfigureerd als niet compatibel en gebruikers weergeven die geen toegang hebben tot een ander toegangspakket. U kunt ook gebruikers weergeven die al incompatibele toegang hebben tot een ander toegangspakket in het Microsoft Entra-beheercentrum, met Behulp van Microsoft Graph of Met Behulp van PowerShell.

Gebeurtenissen voor een toegangspakket weergeven

Als u hebt geconfigureerd dat auditlogboekgebeurtenissen naar Azure Monitor worden verzonden, kunt u de ingebouwde werkmappen en aangepaste werkmappen gebruiken om de auditlogboeken weer te geven die in Azure Monitor worden bewaard.

Als u gebeurtenissen voor een toegangspakket wilt weergeven, moet u toegang hebben tot de onderliggende Azure Monitor-werkruimte (zie Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor informatie) en in een van de volgende rollen:

• Globale beheerder
• Beveiligingsbeheer
• Beveiligingslezer
• Rapportenlezer
• Toepassingsbeheerder

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer. Zorg ervoor dat u toegang hebt tot de resourcegroep met de Azure Monitor-werkruimte.

2. Blader naar Entra ID>Monitoring & health>Workbooks.

3. Als u meerdere abonnementen hebt, selecteert u het abonnement met de werkruimte.

4. Nadat u het abonnement hebt geselecteerd of als u slechts één abonnement hebt, selecteert u de werkmap met de naam Access Package Activity.

5. Selecteer in die werkmap een tijdsbereik (wijzigen in All als u het niet zeker weet) en selecteer een toegangspakket-id in de vervolgkeuzelijst met alle toegangspakketten die activiteit hadden tijdens dat tijdsbereik. De gebeurtenissen met betrekking tot het toegangspakket die hebben plaatsgevonden tijdens het geselecteerde tijdsbereik, worden weergegeven.

   

   Elke rij bevat de tijd, toegangspakket-id, de naam van de bewerking, de object-id, UPN en de weergavenaam van de gebruiker die de bewerking heeft gestart. Meer informatie vindt u in JSON.

Historische toepassingsroltoewijzingen weergeven die niet zijn gemaakt door Entitlement Management

Als u hebt geconfigureerd dat auditlogboekgebeurtenissen naar Azure Monitor worden verzonden, kunt u de ingebouwde werkmappen en aangepaste werkmappen gebruiken om de auditlogboeken weer te geven die in Azure Monitor worden bewaard.

De activiteit Toepassingsroltoewijzing geeft aan of er wijzigingen zijn aangebracht in toepassingsroltoewijzingen voor een toepassing die niet te wijten was aan toegangspakkettoewijzingen, zoals door een globale beheerder die een gebruiker rechtstreeks toewijst aan een toepassingsrol.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer. Zorg ervoor dat u toegang hebt tot de resourcegroep met de Azure Monitor-werkruimte.

2. Blader naar Entra ID>Monitoring en gezondheid>Werkboeken.

3. Als u meerdere abonnementen hebt, selecteert u het abonnement met de werkruimte.

4. Nadat u het abonnement hebt geselecteerd of als u slechts één abonnement hebt, selecteert u de werkmap met de naam Access Package Activity.

   

5. Als u ervoor kiest om rechtenactiviteit weg te laten, worden alleen wijzigingen in toepassingsrollen weergegeven die niet zijn gemaakt door rechtenbeheer. U ziet bijvoorbeeld een rij als een globale beheerder een gebruiker rechtstreeks aan een toepassingsrol had toegewezen.

Volgende stappen

• Rapporten en logboeken archiveren
• Problemen met rechtenbeheer oplossen
• Aangepaste waarschuwingen maken voor rechtenbeheer
• Aangepaste rapporten in Azure Data Explorer (ADX) met behulp van gegevens uit Microsoft Entra ID