权利管理报告和Microsoft Entra审核日志提供有关哪些资源标识有权访问的更多详细信息。 作为管理员,您可以查看用户身份的访问包和资源分配,并查看请求日志,以用于审核目的或确定用户身份请求的状态。 本文介绍如何使用权利管理报告和Microsoft Entra审核日志。
本文概述了如何在权利管理中查看有关当前对象的报表。 若要保留和报告历史Microsoft Entra对象(例如标识或应用程序角色分配),请参阅 使用 Microsoft Entra ID 中的数据在 Azure 数据资源管理器 (ADX) 中自定义报表。
观看以下视频,了解如何在授权管理中查看资源身份的访问权限。
查看分配给访问包的标识
此报告使您能够列出分配给访问包的所有身份。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>访问包。
在“访问包”页上,选择所需的访问包。
在左侧菜单中,选择“分配”,然后选择“下载”。
确认文件名,然后单击“下载”。
查看用户的访问包
使用此报表,可以列出用户能够请求的所有访问包以及当前分配给该用户的访问包。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>报告。
选择“用户的访问包”。
选择 “选择用户 ”以打开“选择用户”窗格。
在列表中查找用户,然后选择“ 选择”。
“可以请求”选项卡显示该用户可以请求的访问包的列表。 此列表由为访问包定义的 请求策略 确定。
如果某个访问包有多个资源角色或策略,请选择资源角色或策略条目,以查看所选项的详细信息。
选择 “已分配 ”选项卡以查看当前分配给用户的访问包的列表。 向用户分配了访问包后,这就意味着该用户有权访问此访问包中所有的资源角色。
查看用户的资源分配
使用此报表可以列出权利管理中当前分配给用户的资源。 此报表适用于通过权利管理进行管理的资源。 用户可能有权访问权利管理之外的目录中的其他资源。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>报告。
为用户选择资源分配。
选择 “选择用户 ”以打开“选择用户”窗格。
在列表中查找用户,然后选择“ 选择”。
这时会显示当前分配给该用户的资源列表。 此列表还显示他们获得资源角色的访问包和策略,以及访问的开始日期和结束日期。
如果用户在两个或更多的包中获得了对同一资源的访问权限,你可以选择箭头来查看各个包和策略。
确定用户的请求的状态
若要获取有关用户如何请求和接收访问包访问权限的额外详细信息,可以使用Microsoft Entra审核日志。 具体说来,可以使用 EntitlementManagement 和 UserManagement 类别中的日志记录来更详细地了解每个请求的处理步骤。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>审核日志。
在顶部将“类别”更改为
EntitlementManagement或UserManagement,具体取决于要查找的审核记录。选择“应用”。
若要下载日志,请选择“ 下载”。
当Microsoft Entra ID收到新请求时,它会写入审核记录,其中CategoryEntitlementManagement,Activity通常是User requests access package assignment。 如果在Microsoft Entra 管理中心中创建的直接分配,则审核记录的 Activity 字段为 Administrator directly assigns user to access package,执行分配的用户由 ActorUserPrincipalName 标识。
Microsoft Entra ID 在请求进行中时写入额外的审核记录,包括:
| 类别 | 活动 | 请求状态 |
|---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
请求不需要审批 |
UserManagement |
Create request approval |
请求需要审批 |
UserManagement |
Add approver to request approval |
请求需要审批 |
EntitlementManagement |
Approve access package assignment request |
已批准请求 |
EntitlementManagement |
Ready to fulfill access package assignment request |
请求已获得批准,或者不需要审批 |
分配用户访问权限后,Microsoft Entra ID 为 EntitlementManagement 类别写入带有 ActivityFulfill access package assignment 的审核记录。 接收访问权限的用户由 ActorUserPrincipalName 字段标识。
如果未分配访问权限,那么 Microsoft Entra ID 会为
当用户的访问包分配过期、用户自行取消或管理员移除后,Microsoft Entra ID 会为 EntitlementManagement 类别记录一个 Activity 的审核记录,其 Remove access package assignment。
下载连接的组织列表
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>关联组织。
在“连接的组织”页上,选择“下载”。
识别具有或将具有不兼容访问权限的用户,并分离职责
通过配置访问包上的职责分离设置,可以将属于安全组成员或已获得一个访问包分配的用户标记为不兼容,防止他们请求另一个访问包。 然后,可以查看 配置为不兼容的访问包,并 列出将具有对另一个访问包不兼容访问权限的用户。 还可以在 Microsoft Entra 管理中心中,使用 Microsoft Graph 或 PowerShell,列出已经存在与另一个访问包不兼容访问的用户。
查看访问包的事件
如果已配置为将审核日志事件发送到 Azure Monitor,则可以使用内置工作簿和自定义工作簿查看Azure Monitor中保留的审核日志。
若要查看访问包的事件,必须有权访问底层 Azure 监视器工作区(请参阅 管理 Azure 监视器中的日志数据和工作区访问权限 以获取资料),并且需具有以下角色之一:
- 全局管理员
- 安全管理员
- 安全读取者
- 报告读者
- 应用程序管理员
以至少具备 Reports Reader 身份登录到 Microsoft Entra 管理中心。 请确保有权访问包含Azure Monitor工作区的资源组。
浏览到 Entra ID>监控与健康>工作簿。
如果你有多个订阅,请选择包含工作区的订阅。
选择好订阅后,或是如果你仅有一个订阅,选择名为“Access Package Activity”的工作簿。
在该工作簿中选择一个时间范围(如果不确定,请更改为“全部”),然后从所有访问包的下拉列表中,选择在该时间范围内发生了活动的访问包 ID。 随后会显示在所选时间范围内该访问包发生的相关事件。
每行包含时间、访问包 ID、操作名称、对象 ID、UPN,以及启动该操作的用户的显示名称。 JSON 中包含更多详细信息。
查看非由权利管理实施的过往的应用程序角色分配
如果已配置为将审核日志事件发送到 Azure Monitor,则可以使用内置工作簿和自定义工作簿查看Azure Monitor中保留的审核日志。
工作簿 应用程序角色分配活动 显示应用程序角色分配是否发生了非访问包分配导致的更改,例如由全局管理员直接将用户分配到应用程序角色。
以至少具备 Reports Reader 身份登录到 Microsoft Entra 管理中心。 请确保有权访问包含Azure Monitor工作区的资源组。
浏览到 Entra ID>监控和健康>Workbooks。
如果你有多个订阅,请选择包含工作区的订阅。
选择好订阅后,或是如果你仅有一个订阅,选择名为“Access Package Activity”的工作簿。
如果选择忽略权限活动,则只会显示对未由权限管理进行的应用程序角色的更改。 例如,当一个全局管理员直接将用户分配到某个应用程序角色时,你就会看到一行。
在应用程序中查看孤立帐户或本地帐户
连接的应用程序的管理员(Salesforce、SAP Cloud Identity Services 等)可以手动在应用程序中创建帐户,从而规避治理控制措施。 使用帐户发现功能,可以生成应用程序中所有用户的报告,确定哪些用户在 Entra 中具有匹配的帐户,以及哪些用户是应用程序的本地用户,只需单击一下即可。 它使你能够简化加入 Entra 的流程,同时定期监控未经授权的访问。 在此处了解有关帐户 发现功能的详细信息。