Wyświetlanie raportów i dzienników w zarządzaniu upoważnieniami

Raporty zarządzania upoważnieniami i dziennik inspekcji firmy Microsoft Entra zawierają więcej szczegółów na temat zasobów, do których użytkownicy mają dostęp. Jako administrator możesz wyświetlić pakiety dostępu i przypisania zasobów dla użytkownika i wyświetlić dzienniki żądań na potrzeby inspekcji lub określić stan żądania użytkownika. W tym artykule opisano sposób używania raportów zarządzania upoważnieniami i dzienników inspekcji firmy Microsoft Entra.

Obejrzyj poniższy film wideo, aby dowiedzieć się, do jakich zasobów użytkownicy mają dostęp w zarządzaniu upoważnieniami:

Wyświetlanie użytkowników przypisanych do pakietu dostępu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Ten raport umożliwia wyświetlenie listy wszystkich użytkowników przypisanych do pakietu dostępu.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

3. Na stronie Pakiety dostępu wybierz interesujący cię pakiet dostępu.

4. W menu po lewej stronie wybierz pozycję Przypisania, a następnie wybierz pozycję Pobierz.

5. Potwierdź nazwę pliku, a następnie wybierz pozycję Pobierz.

Wyświetlanie pakietów dostępu dla użytkownika

Ten raport umożliwia wyświetlenie listy wszystkich pakietów dostępu, których użytkownik może zażądać, oraz pakietów dostępu, które są obecnie przypisane do użytkownika.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

3. Wybierz pozycję Pakiety dostępu dla użytkownika.

4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

   Na karcie Może być wyświetlana lista pakietów dostępu, których użytkownik może zażądać. Ta lista jest określana przez zasady żądań zdefiniowane dla pakietów dostępu.

   

6. Jeśli dla pakietu dostępu istnieje więcej niż jedna rola lub zasady zasobów, wybierz pozycję Role zasobów lub zasady, aby wyświetlić szczegóły wyboru.

7. Wybierz kartę Przypisane , aby wyświetlić listę pakietów dostępu aktualnie przypisanych do użytkownika. Po przypisaniu pakietu dostępu do użytkownika oznacza to, że użytkownik ma dostęp do wszystkich ról zasobów w pakiecie dostępu.

Wyświetlanie przypisań zasobów dla użytkownika

Ten raport umożliwia wyświetlenie listy zasobów aktualnie przypisanych do użytkownika w zarządzaniu upoważnieniami. Ten raport dotyczy zasobów zarządzanych przy użyciu zarządzania upoważnieniami. Użytkownik może mieć dostęp do innych zasobów w katalogu poza zarządzaniem upoważnieniami.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

3. Wybierz pozycję Przypisania zasobów dla użytkownika.

4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

   Zostanie wyświetlona lista zasobów aktualnie przypisanych do użytkownika. Lista zawiera również pakiet dostępu i zasady, z których mają rolę zasobu, wraz z datą rozpoczęcia i zakończenia dostępu.

   Jeśli użytkownik uzyskał dostęp do tego samego zasobu w co najmniej dwóch pakietach, możesz wybrać strzałkę, aby wyświetlić każdy pakiet i zasady.

   

Określanie stanu żądania użytkownika

Aby uzyskać dodatkowe informacje na temat sposobu, w jaki użytkownik zażądał i otrzymał dostęp do pakietu dostępu, możesz użyć dziennika inspekcji firmy Microsoft Entra. W szczególności możesz użyć rekordów dziennika w EntitlementManagement kategorii i UserManagement , aby uzyskać więcej informacji na temat kroków przetwarzania dla każdego żądania.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do obszaru Zarządzanie tożsamościami>Dzienniki inspekcji zarządzania upoważnieniami.>

3. W górnej części zmień kategorię na EntitlementManagement lub UserManagement, w zależności od rekordu inspekcji, którego szukasz.

4. Wybierz Zastosuj.

5. Aby pobrać dzienniki, wybierz pozycję Pobierz.

Gdy identyfikator Entra firmy Microsoft odbiera nowe żądanie, zapisuje rekord inspekcji, w którym jest EntitlementManagement kategoria, a działanie to zwykle User requests access package assignment. Jeśli bezpośrednie przypisanie utworzone w centrum administracyjnym firmy Microsoft Entra, pole Działanie rekordu inspekcji to Administrator directly assigns user to access package, a użytkownik wykonujący przypisanie jest identyfikowany przez element ActorUserPrincipalName.

Identyfikator Entra firmy Microsoft zapisuje dodatkowe rekordy inspekcji, gdy żądanie jest w toku, w tym:

Kategoria	Działanie	Stan żądania
EntitlementManagement	Auto approve access package assignment request	Żądanie nie wymaga zatwierdzenia
UserManagement	Create request approval	Żądanie wymaga zatwierdzenia
UserManagement	Add approver to request approval	Żądanie wymaga zatwierdzenia
EntitlementManagement	Approve access package assignment request	Wniosek zatwierdzony
EntitlementManagement	Ready to fulfill access package assignment request	Żądanie zatwierdzone lub nie wymaga zatwierdzenia

Gdy użytkownik ma przypisany dostęp, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniem Fulfill access package assignment. Użytkownik, który otrzymał dostęp, jest identyfikowany przez pole ActorUserPrincipalName .

Jeśli dostęp nie został przypisany, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniem Deny access package assignment request , jeśli żądanie zostało odrzucone przez osoby zatwierdzające lub Access package assignment request timed out (no approver action taken), jeśli upłynął limit czasu żądania przed zatwierdzeniem osoby zatwierdzającej.

Gdy przypisanie pakietu dostępu użytkownika wygaśnie, zostanie anulowane przez użytkownika lub usunięte przez administratora, a następnie identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniem Remove access package assignment.

Pobieranie listy połączonych organizacji

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do sekcji Zarządzanie ładem>>tożsamości Połączone organizacje.

3. Na stronie Połączone organizacje wybierz pozycję Pobierz.

Wyświetlanie zdarzeń dla pakietu dostępu

Jeśli skonfigurowano wysyłanie zdarzeń dziennika inspekcji do usługi Azure Monitor, możesz użyć wbudowanych skoroszytów i skoroszytów niestandardowych do wyświetlania dzienników inspekcji przechowywanych w usłudze Azure Monitor.

Aby wyświetlić zdarzenia pakietu dostępu, musisz mieć dostęp do bazowego obszaru roboczego usługi Azure Monitor (zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor , aby uzyskać informacje) i w jednej z następujących ról:

• Globalny administrator usługi
• Administrator zabezpieczeń
• Czytelnik zabezpieczeń
• Czytelnik raportów
• Administrator aplikacji

1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Tożsamość, a następnie wybierz pozycję Skoroszyty w obszarze Monitorowanie i kondycja. Jeśli masz tylko jedną subskrypcję, przejdź do kroku 3.

2. Jeśli masz wiele subskrypcji, wybierz subskrypcję zawierającą obszar roboczy.

3. Wybierz skoroszyt o nazwie Działanie pakietu programu Access.

4. W tym skoroszycie wybierz zakres czasu (zmień na Wszystkie , jeśli nie jest pewien) i wybierz identyfikator pakietu dostępu z listy rozwijanej wszystkich pakietów dostępu, które miały działanie w tym zakresie czasu. Zostaną wyświetlone zdarzenia związane z pakietem dostępu, który wystąpił w wybranym przedziale czasu.

   

   Każdy wiersz zawiera czas, identyfikator pakietu dostępu, nazwę operacji, identyfikator obiektu, nazwę UPN i nazwę wyświetlaną użytkownika, który rozpoczął operację. Więcej szczegółów znajduje się w formacie JSON.

5. Jeśli chcesz sprawdzić, czy wprowadzono zmiany przypisań ról aplikacji dla aplikacji, które nie były spowodowane dostępem do przypisań pakietów, takich jak administrator globalny bezpośrednio przypisując użytkownika do roli aplikacji, możesz wybrać skoroszyt o nazwie Działanie przypisania roli aplikacji.

   

Następne kroki

• Archiwizowanie raportów i dzienników
• Rozwiązywanie problemów z zarządzaniem upoważnieniami
• Typowe scenariusze
• Tworzenie alertów niestandardowych na potrzeby zarządzania upoważnieniami