Visa rapporter och loggar i berättigandehantering
Rapporterna om berättigandehantering och Microsoft Entra-granskningsloggen innehåller ytterligare information om vilka resurser användarna har åtkomst till. Som administratör kan du visa åtkomstpaket och resurstilldelningar för en användare och visa begärandeloggar i granskningssyfte eller bestämma status för en användares begäran. I den här artikeln beskrivs hur du använder rapporter för berättigandehantering och Microsoft Entra-granskningsloggar.
Titta på följande video för att lära dig hur du visar vilka resurser användare har åtkomst till i berättigandehantering:
Visa användare som har tilldelats ett åtkomstpaket
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Med den här rapporten kan du visa en lista över alla användare som har tilldelats ett åtkomstpaket.
Kravroll: Global administratör eller identitetsstyrningsadministratör
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Access-paket väljer du det intressanta åtkomstpaketet.
I den vänstra menyn väljer du Tilldelningar och sedan Ladda ned.
Bekräfta filnamnet och klicka sedan på Ladda ned.
Visa åtkomstpaket för en användare
Med den här rapporten kan du visa en lista över alla åtkomstpaket som en användare kan begära och de åtkomstpaket som för närvarande är tilldelade till användaren.
Kravroll: Global administratör eller identitetsstyrningsadministratör
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Identity governance Entitlement management Reports (Berättigandehanteringsrapporter>för identitetsstyrning).>
Välj Åtkomstpaket för en användare.
Välj Välj användare för att öppna fönstret Välj användare.
Leta upp användaren i listan och välj sedan Välj.
Fliken Kan begära visar en lista över de åtkomstpaket som användaren kan begära. Den här listan bestäms av de begärandeprinciper som definierats för åtkomstpaketen.
Om det finns fler än en resursroll eller principer för ett åtkomstpaket väljer du posten resursroller eller principer för att se urvalsinformation.
Välj fliken Tilldelad för att se en lista över de åtkomstpaket som för närvarande är tilldelade till användaren. När ett åtkomstpaket tilldelas en användare innebär det att användaren har åtkomst till alla resursroller i åtkomstpaketet.
Visa resurstilldelningar för en användare
Med den här rapporten kan du visa en lista över de resurser som för närvarande har tilldelats till en användare i berättigandehantering. Den här rapporten är avsedd för resurser som hanteras med berättigandehantering. Användaren kan ha åtkomst till andra resurser i din katalog utanför berättigandehantering.
Kravroll: Global administratör eller identitetsstyrningsadministratör
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Identity governance Entitlement management Reports (Berättigandehanteringsrapporter>för identitetsstyrning).>
Välj Resurstilldelningar för en användare.
Välj Välj användare för att öppna fönstret Välj användare.
Leta upp användaren i listan och välj sedan Välj.
En lista över de resurser som för närvarande har tilldelats användaren visas. Listan visar också åtkomstpaketet och principen som de fick resursrollen från, tillsammans med start- och slutdatum för åtkomst.
Om en användare har åtkomst till samma resurs i två eller flera paket kan du välja en pil för att se varje paket och princip.
Fastställa status för en användares begäran
Om du vill få ytterligare information om hur en användare begärde och fick åtkomst till ett åtkomstpaket kan du använda Microsoft Entra-granskningsloggen. I synnerhet kan du använda loggposterna i EntitlementManagement kategorierna och UserManagement för att få ytterligare information om bearbetningsstegen för varje begäran.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Granskningsloggar för rättighetshantering>för identitetsstyrning.>
Överst ändrar du Kategorin till antingen
EntitlementManagementellerUserManagement, beroende på vilken granskningspost du letar efter.Välj Använd.
Om du vill ladda ned loggarna väljer du Ladda ned.
När Microsoft Entra-ID tar emot en ny begäran skriver det en granskningspost, där kategorin är EntitlementManagement och aktiviteten vanligtvis User requests access package assignmentär . När det gäller en direkttilldelning som skapats i administrationscentret för Microsoft Entra är Administrator directly assigns user to access packagefältet Aktivitet i granskningsposten , och användaren som utför tilldelningen identifieras av ActorUserPrincipalName.
Microsoft Entra-ID skriver ytterligare granskningsposter medan begäran pågår, inklusive:
| Kategori | Aktivitet | Status för begäran |
|---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
Begäran kräver inte godkännande |
UserManagement |
Create request approval |
Begäran kräver godkännande |
UserManagement |
Add approver to request approval |
Begäran kräver godkännande |
EntitlementManagement |
Approve access package assignment request |
Begäran godkänd |
EntitlementManagement |
Ready to fulfill access package assignment request |
Begäran godkänd eller kräver inte godkännande |
När en användare tilldelas åtkomst skriver Microsoft Entra-ID en granskningspost för EntitlementManagement kategorin med AktivitetFulfill access package assignment. Användaren som fick åtkomsten identifieras av fältet ActorUserPrincipalName .
Om åtkomst inte har tilldelats skriver Microsoft Entra-ID:t en granskningspost för EntitlementManagement kategorin med Aktivitet antingen Deny access package assignment request, om begäran nekades av en godkännare eller Access package assignment request timed out (no approver action taken), om tidsgränsen för begäran uppstod innan en godkännare kunde godkänna.
När användarens tilldelning av åtkomstpaket upphör att gälla, avbryts av användaren eller tas bort av en administratör, skriver Microsoft Entra-ID en granskningspost för EntitlementManagement kategorin med Aktivitet för Remove access package assignment.
Ladda ned lista över anslutna organisationer
Kravroll: Global administratör eller identitetsstyrningsadministratör
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Identitetsstyrning>Berättigandehantering> Anslut organisationer.
På sidan Anslut organisationer väljer du Ladda ned.
Visa händelser för ett åtkomstpaket
Om du har konfigurerat för att skicka granskningslogghändelser till Azure Monitor kan du använda de inbyggda arbetsböckerna och anpassade arbetsböcker för att visa de granskningsloggar som behålls i Azure Monitor.
Om du vill visa händelser för ett åtkomstpaket måste du ha åtkomst till den underliggande Azure Monitor-arbetsytan (se Hantera åtkomst till loggdata och arbetsytor i Azure Monitor för information) och i någon av följande roller:
- Global administratör
- Säkerhetsadministratör
- Säkerhetsläsare
- Rapportläsare
- Programadministratör
I administrationscentret för Microsoft Entra väljer du Identitet och sedan Arbetsböcker under Övervakning och hälsa. Om du bara har en prenumeration går du vidare till steg 3.
Om du har flera prenumerationer väljer du den prenumeration som innehåller arbetsytan.
Välj arbetsboken med namnet Åtkomstpaketaktivitet.
I arbetsboken väljer du ett tidsintervall (ändra till Alla om det inte är säkert) och väljer ett åtkomstpaket-ID i listrutan för alla åtkomstpaket som hade aktivitet under det tidsintervallet. De händelser som är relaterade till åtkomstpaketet som inträffade under det valda tidsintervallet visas.
Varje rad innehåller tid, åtkomstpaket-ID, namnet på åtgärden, objekt-ID, UPN och visningsnamnet för användaren som startade åtgärden. Ytterligare information ingår i JSON.
Om du vill se om det har gjorts ändringar i programrolltilldelningar för ett program som inte beror på åtkomstpakettilldelningar, till exempel av en global administratör som direkt tilldelar en användare till en programroll, kan du välja arbetsboken med namnet Programrolltilldelningsaktivitet.
