在權利管理中檢視報告和記錄
權利管理報告和 Microsoft Entra 稽核記錄提供使用者可存取哪些資源的其他詳細數據。 身為系統管理員,您可以檢視使用者的存取套件和資源指派,以及檢視用於稽核目的的要求記錄,或判斷使用者要求的狀態。 本文說明如何使用權利管理報告和 Microsoft Entra 稽核記錄。
觀看下列影片,瞭解如何檢視用戶有權在權利管理中存取的資源:
檢視指派給存取套件的使用者
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
此報告可讓您列出指派給存取套件的所有使用者。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>權利管理>存取套件。
在 [ 存取套件] 頁面上,選取感興趣的存取套件。
在左側功能表中,選取 [ 指派],然後選取 [ 下載]。
確認檔名,然後按兩下 [ 下載]。
檢視使用者的存取套件
此報表可讓您列出使用者可要求的所有存取套件,以及目前指派給使用者的存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>報告]。
選取 使用者的 [存取套件]。
選取 [ 選取使用者 ] 以開啟 [選取使用者] 窗格。
在清單中尋找用戶,然後選取 [ 選取]。
[可要求] 索引標籤會顯示使用者可以要求之存取套件的清單。 此清單是由 針對存取套件定義的要求 原則所決定。
如果存取套件有多個資源角色或原則,請選取資源角色或原則專案以查看選取詳細數據。
選取 [ 指派] 索引 標籤,以查看目前指派給使用者的存取套件清單。 將存取套件指派給使用者時,這表示使用者有權存取存取套件中的所有資源角色。
檢視用戶的資源指派
此報告可讓您列出目前指派給權利管理中用戶的資源。 此報告適用於使用權利管理所管理的資源。 使用者可能會在權利管理之外存取目錄中的其他資源。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>報告]。
選取 用戶的資源指派。
選取 [ 選取使用者 ] 以開啟 [選取使用者] 窗格。
在清單中尋找用戶,然後選取 [ 選取]。
會顯示目前指派給使用者的資源清單。 此清單也會顯示他們從中取得資源角色的存取套件和原則,以及存取的開始和結束日期。
如果使用者在兩個或多個套件中存取相同的資源,您可以選取箭號以查看每個套件和原則。
判斷使用者要求的狀態
若要取得使用者如何要求和接收存取套件存取權的其他詳細數據,您可以使用 Microsoft Entra 稽核記錄。 特別是,您可以使用 和 UserManagement 類別中的EntitlementManagement記錄檔記錄,取得每個要求處理步驟的其他詳細數據。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>稽核記錄]。
在頂端,根據您要尋找的稽核記錄,將 [類別 ] 變更為
EntitlementManagement或UserManagement。選取套用。
若要下載記錄,請選取 [ 下載]。
當 Microsoft Entra ID 收到新的要求時,它會寫入稽核記錄,其中 Category 是 EntitlementManagement ,而 活動 通常是 User requests access package assignment。 在 Microsoft Entra 系統管理中心建立的直接指派案例中,稽核記錄的活動欄位為 Administrator directly assigns user to access package,而執行指派的使用者會由 ActorUserPrincipalName 識別。
Microsoft Entra ID 會在要求進行時寫入其他稽核記錄,包括:
| 類別 | 活動 | 要求狀態 |
|---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
要求不需要核准 |
UserManagement |
Create request approval |
要求需要核准 |
UserManagement |
Add approver to request approval |
要求需要核准 |
EntitlementManagement |
Approve access package assignment request |
要求核准 |
EntitlementManagement |
Ready to fulfill access package assignment request |
要求核准,或不需要核准 |
當用戶獲指派存取權時,Microsoft Entra ID 會使用 ActivityFulfill access package assignment 寫入類別的EntitlementManagement稽核記錄。 收到存取權的使用者是由 ActorUserPrincipalName 字段所識別。
如果未指派存取權,則 Microsoft Entra ID 會針對具有 ActivityDeny access package assignment request的EntitlementManagement類別寫入稽核記錄;如果核准者拒絕要求,Access package assignment request timed out (no approver action taken)則為 ;如果要求在核准者可以核准之前逾時,則為 。
當使用者的存取套件指派到期時,由使用者取消或由系統管理員移除,則 Microsoft Entra ID 會針對類別寫入稽核記錄EntitlementManagement,其中包含的活動Remove access package assignment。
下載已連線組織清單
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>權利管理> 連線 組織。
在 連線 組織頁面上,選取 [下載]。
檢視存取套件的事件
如果您已設定將稽核記錄事件傳送至 Azure 監視器,則可以使用內建活頁簿和自定義活頁簿來檢視 Azure 監視器中保留的稽核記錄。
若要檢視存取套件的事件,您必須能夠存取基礎 Azure 監視器工作區(如需相關信息,請參閱 管理 Azure 監視器 中記錄數據和工作區的存取權),以及下列其中一個角色:
- 全域管理員
- 安全性系統管理員
- 安全性讀取者
- 報告讀取者
- 應用程式系統管理員
在 Microsoft Entra 系統管理中心中,選取 [身分識別],然後選取 [監視與健康情況] 下的 [活頁簿]。 如果您只有一個訂用帳戶,請移至步驟 3。
如果您有多個訂用帳戶,請選取包含工作區的訂用帳戶。
選取名為 Access Package Activity的活頁簿。
在該活頁簿中,選取時間範圍(如果不確定,請變更為 [全部 ]),然後從在該時間範圍內具有活動之所有存取套件的下拉式清單中選取存取套件標識符。 將會顯示與所選時間範圍期間所發生之存取套件相關的事件。
每個數據列都包含時間、存取套件識別碼、作業名稱、物件標識碼、UPN,以及啟動作業的用戶顯示名稱。 JSON 中包含其他詳細數據。
如果您想要查看應用程式角色指派是否有因存取套件指派而對應用程式角色指派所做的變更,例如由全域管理員將使用者直接指派給應用程式角色,則您可以選取名為 應用程式角色指派活動的活頁簿。
