Exibir relatórios e logs no gerenciamento de direitos

Os relatórios de gerenciamento de direitos e o log de auditoria do Microsoft Entra fornecem detalhes adicionais sobre os recursos aos quais os usuários têm acesso. Como administrador, você pode exibir os pacotes de acesso e as atribuições de recursos de um usuário e exibir logs de solicitação para fins de auditoria ou determinação do status da solicitação de um usuário. Este artigo descreve como usar os relatórios de gerenciamento de direitos e os logs de auditoria do Microsoft Entra.

Assista ao vídeo a seguir para saber a que recursos os usuários têm acesso no gerenciamento de direitos:

Exibir usuários atribuídos a um pacote de acesso

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Este relatório permite listar todos os usuários atribuídos a um pacote de acesso.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.

3. Na página Pacotes de acesso, selecione o pacote de acesso de interesse.

4. No menu à esquerda, selecione Atribuições e, em seguida, selecione Download.

5. Confirme o nome do ficheiro e, em seguida, clique em Transferir.

Exibir pacotes de acesso para um usuário

Este relatório permite listar todos os pacotes de acesso que um usuário pode solicitar e os pacotes de acesso que estão atualmente atribuídos ao usuário.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Relatórios de gerenciamento de>direitos de governança>de identidade.

3. Selecione Pacotes de acesso para um usuário.

4. Selecione Selecionar usuários para abrir o painel Selecionar usuários.

5. Encontre o usuário na lista e selecione Selecionar.

   A guia Pode solicitar exibe uma lista dos pacotes de acesso que o usuário pode solicitar. Essa lista é determinada pelas políticas de solicitação definidas para os pacotes de acesso.

   

6. Se houver mais de uma função ou política de recurso para um pacote de acesso, selecione a entrada de políticas ou funções de recurso para ver os detalhes da seleção.

7. Selecione a guia Atribuído para ver uma lista dos pacotes de acesso atualmente atribuídos ao usuário. Quando um pacote de acesso é atribuído a um usuário, isso significa que o usuário tem acesso a todas as funções de recurso no pacote de acesso.

Exibir atribuições de recursos para um usuário

Este relatório permite listar os recursos atualmente atribuídos a um usuário no gerenciamento de direitos. Este relatório destina-se a recursos geridos com gestão de direitos. O usuário pode ter acesso a outros recursos em seu diretório fora do gerenciamento de direitos.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Relatórios de gerenciamento de>direitos de governança>de identidade.

3. Selecione Atribuições de recursos para um usuário.

4. Selecione Selecionar usuários para abrir o painel Selecionar usuários.

5. Encontre o usuário na lista e selecione Selecionar.

   Uma lista dos recursos atualmente atribuídos ao usuário é exibida. A lista também mostra o pacote de acesso e a política a partir da qual eles obtiveram a função de recurso, juntamente com as datas de início e término do acesso.

   Se um usuário tiver acesso ao mesmo recurso em dois ou mais pacotes, você poderá selecionar uma seta para ver cada pacote e política.

   

Determinar o status da solicitação de um usuário

Para obter detalhes adicionais sobre como um usuário solicitou e recebeu acesso a um pacote de acesso, você pode usar o log de auditoria do Microsoft Entra. Em particular, você pode usar os registros de log nas EntitlementManagement categorias e UserManagement para obter detalhes adicionais sobre as etapas de processamento para cada solicitação.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos,>Logs de auditoria.

3. Na parte superior, altere a Categoria para uma ou UserManagementEntitlementManagement , dependendo do registro de auditoria que você está procurando.

4. Selecione Aplicar.

5. Para transferir os registos, selecione Transferir.

Quando o Microsoft Entra ID recebe uma nova solicitação, ele grava um registro de auditoria, no qual a Categoria é EntitlementManagement e a Atividade é normalmente User requests access package assignment. No caso de uma atribuição direta criada no centro de administração do Microsoft Entra, o campo Activity do registro de auditoria é Administrator directly assigns user to access package, e o usuário que executa a atribuição é identificado pelo ActorUserPrincipalName.

O Microsoft Entra ID grava registros de auditoria adicionais enquanto a solicitação está em andamento, incluindo:

Categoria	Atividade	Estado do pedido
EntitlementManagement	Auto approve access package assignment request	A solicitação não requer aprovação
UserManagement	Create request approval	Pedido requer aprovação
UserManagement	Add approver to request approval	Pedido requer aprovação
EntitlementManagement	Approve access package assignment request	Pedido aprovado
EntitlementManagement	Ready to fulfill access package assignment request	Solicitação aprovada ou não requer aprovação

Quando um usuário recebe acesso, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement categoria com AtividadeFulfill access package assignment. O usuário que recebeu o acesso é identificado pelo campo ActorUserPrincipalName .

Se o acesso não foi atribuído, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement categoria com Atividade Deny access package assignment request , se a solicitação foi negada por um aprovador ou Access package assignment request timed out (no approver action taken), se a solicitação expirou antes que um aprovador pudesse aprovar.

Quando a atribuição do pacote de acesso do usuário expira, é cancelada pelo usuário ou removida por um administrador, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement categoria com Atividade de Remove access package assignment.

Lista de download de organizações conectadas

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.

3. Na página Organizações conectadas, selecione Download.

Ver eventos para um pacote de acesso

Se você tiver configurado para enviar eventos de log de auditoria para o Azure Monitor, poderá usar as pastas de trabalho internas e as pastas de trabalho personalizadas para exibir os logs de auditoria retidos no Azure Monitor.

Para exibir eventos para um pacote de acesso, você deve ter acesso ao espaço de trabalho subjacente do monitor do Azure (consulte Gerenciar acesso a dados de log e espaços de trabalho no Azure Monitor para obter informações) e em uma das seguintes funções:

• Administrador global
• Administrador de segurança
• Leitor de segurança
• Leitor de relatórios
• Administrador de aplicações

1. No centro de administração do Microsoft Entra, selecione Identidade e, em seguida, selecione Pastas de trabalho em Monitoramento e integridade. Se tiver apenas uma subscrição, avance para o passo 3.

2. Se você tiver várias assinaturas, selecione a assinatura que contém o espaço de trabalho.

3. Selecione a pasta de trabalho chamada Atividade do Pacote do Access.

4. Nessa pasta de trabalho, selecione um intervalo de tempo (altere para Todos se não tiver certeza) e selecione uma ID de pacote de acesso na lista suspensa de todos os pacotes de acesso que tiveram atividade durante esse intervalo de tempo. Os eventos relacionados ao pacote de acesso que ocorreram durante o intervalo de tempo selecionado serão exibidos.

   

   Cada linha inclui a hora, o ID do pacote de acesso, o nome da operação, o ID do objeto, o UPN e o nome para exibição do usuário que iniciou a operação. Detalhes adicionais estão incluídos no JSON.

5. Se você quiser ver se houve alterações nas atribuições de função de aplicativo para um aplicativo que não foram devido a atribuições de pacote de acesso, como por um administrador global atribuindo diretamente um usuário a uma função de aplicativo, então você pode selecionar a pasta de trabalho chamada Atividade de atribuição de função de aplicativo.

   

Próximos passos

• Arquivar relatórios e logs
• Solucionar problemas de gerenciamento de direitos
• Cenários comuns