Wyświetlanie raportów i dzienników w zarządzaniu upoważnieniami

  • Artykuł

Raporty zarządzania upoważnieniami i dziennik inspekcji firmy Microsoft Entra zawierają dodatkowe szczegóły dotyczące zasobów, do których użytkownicy mają dostęp. Jako administrator możesz wyświetlić pakiety dostępu i przypisania zasobów dla użytkownika i wyświetlić dzienniki żądań na potrzeby inspekcji lub określić stan żądania użytkownika. W tym artykule opisano sposób używania raportów zarządzania upoważnieniami i dzienników inspekcji firmy Microsoft Entra.

Obejrzyj poniższy film wideo, aby dowiedzieć się, do jakich zasobów użytkownicy mają dostęp w zarządzaniu upoważnieniami:

Wyświetlanie użytkowników przypisanych do pakietu dostępu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Ten raport umożliwia wyświetlenie listy wszystkich użytkowników przypisanych do pakietu dostępu.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Na stronie Pakiety dostępu wybierz interesujący go pakiet dostępu.

  4. W menu po lewej stronie wybierz pozycję Przypisania, a następnie wybierz pozycję Pobierz.

  5. Potwierdź nazwę pliku, a następnie kliknij przycisk Pobierz.

Wyświetlanie pakietów dostępu dla użytkownika

Ten raport umożliwia wyświetlenie listy wszystkich pakietów dostępu, których użytkownik może zażądać, oraz pakietów dostępu, które są obecnie przypisane do użytkownika.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

  3. Wybierz pozycję Pakiety dostępu dla użytkownika.

  4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

  5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

    Na karcie Może być wyświetlana lista pakietów dostępu, których użytkownik może zażądać. Ta lista jest określana przez zasady żądań zdefiniowane dla pakietów dostępu.

    Access packages for a user

  6. Jeśli dla pakietu dostępu istnieje więcej niż jedna rola lub zasady zasobów, wybierz pozycję Role zasobów lub zasady, aby wyświetlić szczegóły wyboru.

  7. Wybierz kartę Przypisane , aby wyświetlić listę pakietów dostępu aktualnie przypisanych do użytkownika. Po przypisaniu pakietu dostępu do użytkownika oznacza to, że użytkownik ma dostęp do wszystkich ról zasobów w pakiecie dostępu.

Wyświetlanie przypisań zasobów dla użytkownika

Ten raport umożliwia wyświetlenie listy zasobów aktualnie przypisanych do użytkownika w zarządzaniu upoważnieniami. Ten raport dotyczy zasobów zarządzanych przy użyciu zarządzania upoważnieniami. Użytkownik może mieć dostęp do innych zasobów w katalogu poza zarządzaniem upoważnieniami.

Rola wymagań wstępnych: administrator globalny lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

  3. Wybierz pozycję Przypisania zasobów dla użytkownika.

  4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

  5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

    Zostanie wyświetlona lista zasobów aktualnie przypisanych do użytkownika. Lista zawiera również pakiet dostępu i zasady, z których mają rolę zasobu, wraz z datą rozpoczęcia i zakończenia dostępu.

    Jeśli użytkownik uzyskał dostęp do tego samego zasobu w co najmniej dwóch pakietach, możesz wybrać strzałkę, aby wyświetlić każdy pakiet i zasady.

    Resource assignments for a user

Określanie stanu żądania użytkownika

Aby uzyskać dodatkowe szczegółowe informacje na temat sposobu, w jaki użytkownik zażądał i otrzymał dostęp do pakietu dostępu, możesz użyć dziennika inspekcji firmy Microsoft Entra. W szczególności możesz użyć rekordów dziennika w EntitlementManagement kategoriach i UserManagement , aby uzyskać dodatkowe szczegóły dotyczące kroków przetwarzania dla każdego żądania.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do obszaru Zarządzanie tożsamościami>Dzienniki inspekcji zarządzania upoważnieniami.>

  3. W górnej części zmień kategorięna EntitlementManagement lub UserManagement, w zależności od rekordu inspekcji, którego szukasz.

  4. Wybierz Zastosuj.

  5. Aby pobrać dzienniki, wybierz pozycję Pobierz.

Gdy identyfikator Entra firmy Microsoft odbiera nowe żądanie, zapisuje rekord inspekcji, w którym jest EntitlementManagement kategoria, a działanie to zwykle User requests access package assignment. W przypadku bezpośredniego przypisania utworzonego w centrum administracyjnym firmy Microsoft Entra pole Działanie rekordu inspekcji to Administrator directly assigns user to access package, a użytkownik wykonujący przypisanie jest identyfikowany przez element ActorUserPrincipalName.

Identyfikator Entra firmy Microsoft zapisuje dodatkowe rekordy inspekcji, gdy żądanie jest w toku, w tym:

Kategoria Działanie Stan żądania
EntitlementManagement Auto approve access package assignment request Żądanie nie wymaga zatwierdzenia
UserManagement Create request approval Żądanie wymaga zatwierdzenia
UserManagement Add approver to request approval Żądanie wymaga zatwierdzenia
EntitlementManagement Approve access package assignment request Wniosek zatwierdzony
EntitlementManagement Ready to fulfill access package assignment request Żądanie zatwierdzone lub nie wymaga zatwierdzenia

Gdy użytkownik ma przypisany dostęp, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniemFulfill access package assignment. Użytkownik, który otrzymał dostęp, jest identyfikowany przez pole ActorUserPrincipalName .

Jeśli dostęp nie został przypisany, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniem Deny access package assignment request , jeśli żądanie zostało odrzucone przez osoby zatwierdzające lub Access package assignment request timed out (no approver action taken), jeśli upłynął limit czasu żądania przed zatwierdzeniem osoby zatwierdzającej.

Gdy przypisanie pakietu dostępu użytkownika wygaśnie, zostanie anulowane przez użytkownika lub usunięte przez administratora, a następnie identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniemRemove access package assignment.

Pobieranie listy połączonych organizacji

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do zarządzania ładem>tożsamości Połączenie> ed organizacji.

  3. Na stronie Połączenie ed organizacji wybierz pozycję Pobierz.

Wyświetlanie zdarzeń dla pakietu dostępu

Jeśli skonfigurowano wysyłanie zdarzeń dziennika inspekcji do usługi Azure Monitor, możesz użyć wbudowanych skoroszytów i skoroszytów niestandardowych do wyświetlania dzienników inspekcji przechowywanych w usłudze Azure Monitor.

Aby wyświetlić zdarzenia pakietu dostępu, musisz mieć dostęp do bazowego obszaru roboczego usługi Azure Monitor (zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor , aby uzyskać informacje) i w jednej z następujących ról:

  • Administrator globalny
  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń
  • Czytelnik raportów
  • Administrator aplikacji

  1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Tożsamość, a następnie wybierz pozycję Skoroszyty w obszarze Monitorowanie i kondycja. Jeśli masz tylko jedną subskrypcję, przejdź do kroku 3.

  2. Jeśli masz wiele subskrypcji, wybierz subskrypcję zawierającą obszar roboczy.

  3. Wybierz skoroszyt o nazwie Działanie pakietu programu Access.

  4. W tym skoroszycie wybierz zakres czasu (zmień na Wszystkie , jeśli nie jest pewien) i wybierz identyfikator pakietu dostępu z listy rozwijanej wszystkich pakietów dostępu, które miały działanie w tym zakresie czasu. Zostaną wyświetlone zdarzenia związane z pakietem dostępu, który wystąpił w wybranym przedziale czasu.

    View access package events

    Każdy wiersz zawiera czas, identyfikator pakietu dostępu, nazwę operacji, identyfikator obiektu, nazwę UPN i nazwę wyświetlaną użytkownika, który rozpoczął operację. Dodatkowe szczegóły znajdują się w formacie JSON.

  5. Jeśli chcesz sprawdzić, czy wprowadzono zmiany w przypisaniach ról aplikacji dla aplikacji, które nie były spowodowane dostępem do przypisań pakietów, takich jak administrator globalny bezpośrednio przypisując użytkownika do roli aplikacji, możesz wybrać skoroszyt o nazwie Działanie przypisania roli aplikacji.

    View app role assignments

Następne kroki