Sdílet prostřednictvím

Zobrazení reportů a záznamů ve správě nároků

  • Článek

Sestavy správy nároků a protokol auditu Microsoft Entra poskytují další podrobnosti o prostředcích, ke kterým mají uživatelé přístup. Jako správce můžete zobrazit přístupové balíčky a přiřazení zdrojů pro uživatele a zobrazit protokoly žádostí pro účely auditování nebo určit stav žádosti uživatele. Tento článek popisuje, jak používat sestavy správy nároků a protokoly auditu Microsoft Entra.

Tento článek popisuje, jak zobrazit reporty o aktuálních objektech v oblasti správy oprávnění. Pokud chcete zachovat a vykazovat historické objekty Microsoft Entra, například uživatele nebo přiřazení rolí aplikací, podívejte se na Přizpůsobené sestavy v Azure Data Exploreru (ADX) pomocí dat z Microsoft Entra ID.

V následujícím videu se dozvíte, jak zobrazit, ke kterým prostředkům mají uživatelé přístup při správě nároků:

Zobrazení uživatelů přiřazených k přístupovém balíčku

Tento přehled umožňuje uvést všechny uživatele, kteří jsou přiřazeni k přístupovému balíčku.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad identity.

  2. Přejděte na správu identit>správu nároků>balíčky přístupu.

  3. Na stránce Přístupové balíčky vyberte přístupový balíček, který zajímá.

  4. V nabídce vlevo vyberte Zadání a pak vyberte Stáhnout.

  5. Potvrďte název souboru a pak vyberte Stáhnout.

Zobrazení přístupových balíčků pro uživatele

Tato sestava umožňuje zobrazit seznam všech přístupových balíčků, které si může uživatel vyžádat; a také přístupových balíčků, které jsou aktuálně přiřazeny uživateli.

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako administrátor správy identit.

  2. Přejděte do správy identit>správy nároků>sestavy.

  3. Vyberte přístupové balíčky pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Na kartě Může Požádat se zobrazuje seznam přístupových balíčků, které si uživatel může vyžádat. Tento seznam určuje zásady požadavků definované pro přístupové balíčky.

    Přístup k balíčkům pro uživatele

  6. Pokud pro přístupový balíček existuje více rolí prostředků nebo zásad, vyberte role prostředků nebo položku zásad, abyste zobrazili podrobnosti o výběru.

  7. Výběrem karty Přiřazeno zobrazíte seznam přístupových balíčků aktuálně přiřazených uživateli. Pokud je přístupový balíček přiřazen uživateli, znamená to, že uživatel má přístup ke všem rolím prostředků v přístupovém balíčku.

Zobrazení přiřazení zdrojů pro uživatele

Tato sestava vám umožňuje zobrazit prostředky, které jsou aktuálně přiřazeny uživateli ve správě oprávnění. Tato sestava je určena pro zdroje spravované pomocí správy nároků. Uživatel může mít přístup k jiným prostředkům ve vašem adresáři mimo správu nároků.

  1. Přihlaste se do Centra administrace Microsoft Entra jako alespoň správce správy identit.

  2. Přejděte na Správa identity>Správa nároků>Zprávy.

  3. Vyberte přiřazení zdrojů pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Zobrazí se seznam prostředků aktuálně přiřazených uživateli. V seznamu se také zobrazuje přístupový balíček a zásady, ze kterých získali roli prostředku, spolu s počátečním a koncovým datem pro přístup.

    Pokud uživatel získal přístup ke stejnému prostředku ve dvou nebo více balíčcích, můžete vybrat šipku a zobrazit každý balíček a zásady.

    Přiřazení zdrojů pro uživatele

Určení stavu žádosti uživatele

Pokud chcete získat další podrobnosti o tom, jak uživatel požadoval a přijal přístup k přístupovém balíčku, můžete použít protokol auditu Microsoft Entra. Konkrétně můžete použít záznamy protokolu v kategoriích EntitlementManagement a UserManagement získat další podrobnosti o krocích zpracování jednotlivých požadavků.

  1. Přihlaste se do admin centra Microsoft Entra jako alespoň správce správy identit.

  2. Přejděte do Správa identit>Správa nároků>Protokoly auditu.

  3. V horní části změňte kategorii na buď EntitlementManagement nebo UserManagement, v závislosti na záznamu auditu, který hledáte.

  4. Vyberte Použít.

  5. Chcete-li stáhnout protokoly, vyberte Stáhnout.

Když Microsoft Entra ID obdrží nový požadavek, zapíše záznam auditu, ve kterém je KategorieEntitlementManagement a Činnost je obvykle User requests access package assignment. Pokud je přímé přiřazení vytvořeno v Centru pro správu Microsoft Entra, pole Aktivita záznamu auditu je Administrator directly assigns user to access package, a uživatel provádějící přiřazení je identifikován pomocí ActorUserPrincipalName.

Id Microsoft Entra zapisuje další záznamy auditu během zpracování požadavku, včetně:

Kategorie Aktivita Stav požadavku
EntitlementManagement Auto approve access package assignment request Požadavek nevyžaduje schválení.
UserManagement Create request approval Žádost vyžaduje schválení.
UserManagement Add approver to request approval Žádost vyžaduje schválení.
EntitlementManagement Approve access package assignment request Požadavek schválen
EntitlementManagement Ready to fulfill access package assignment request Žádost byla schválena, nebo nevyžaduje schválení.

Když je uživateli přiřazen přístup, Microsoft Entra ID zapíše záznam auditu pro EntitlementManagement kategorii s aktivitouFulfill access package assignment. Uživatel, který získal přístup, je identifikován polem ActorUserPrincipalName .

Pokud nebyl přístup přiřazen, pak ID Microsoft Entra zapíše záznam auditu pro EntitlementManagement kategorii s Aktivita buď, pokud byla žádost zamítnuta schvalovatelem, nebo Access package assignment request timed out (no approver action taken), pokud vypršel časový limit žádosti před jejím schválením schvalovatelem.

Když vyprší platnost přiřazení přístupového balíčku uživatele, uživatel ho zruší nebo ho odebere správce, Microsoft Entra ID zapíše záznam auditu pro kategorii s aktivitou .

Stažení seznamu propojených organizací

  1. Přihlaste se do centra pro správu Microsoft Entra s alespoň oprávněním správce správy identit.

  2. Přejděte do řízení identit>správy nároků>propojené organizace.

  3. Na stránce Připojené organizace vyberte Stáhnout.

Identifikace uživatelů, kteří mají nebo budou mít nekompatibilní přístup s oddělením povinností

S oddělením nastavení povinností v přístupovém balíčku můžete nakonfigurovat, aby uživatel, který je členem skupiny zabezpečení nebo který už má přiřazení k jednomu přístupovém balíčku, nemohl požádat o jiný přístupový balíček tím, že je označí jako nekompatibilní. Potom můžete zobrazit přístupové balíčky, které jsou nakonfigurované jako nekompatibilní, a seznam uživatelů, kteří budou mít nekompatibilní přístup k jinému přístupovém balíčku. Můžete také zobrazit seznam uživatelů, kteří již mají nekompatibilní přístup k jinému přístupovému balíčku v Centru pro správu Microsoft Entra, pomocí Microsoft Graphnebo pomocí PowerShell.

Zobrazení událostí pro přístupový balíček

Pokud jste nakonfigurovali odesílání událostí protokolu auditu do služby Azure Monitor, můžete k zobrazení protokolů auditu uchovávaných ve službě Azure Monitor použít integrované sešity a vlastní sešity.

Pokud chcete zobrazit události pro přístupový balíček, musíte mít přístup k podkladovému pracovnímu prostoru služby Azure Monitor (viz Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor , kde najdete informace) a v jedné z následujících rolí:

  • Globální správce
  • Správce zabezpečení
  • Čtenář zabezpečení
  • Čtenář sestav
  • Správce aplikace

  1. V Centru pro správu Microsoft Entra vyberte Identita, poté v části Monitorování a stav vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.

  2. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  3. Vyberte sešit s názvem Aktivita přístupového balíčku.

  4. V tomto sešitu vyberte časový rozsah (pokud si nejste jisti, změňte jej na Vše). V rozevíracím seznamu všech přístupových balíčků, které měly aktivitu během tohoto období, vyberte ID přístupového balíčku. Zobrazí se události související s přístupovým balíčkem, ke kterému došlo během vybraného časového rozsahu.

    Zobrazení událostí přístupového balíčku

    Každý řádek obsahuje čas, ID přístupového balíčku, název operace, ID objektu, hlavní název uživatele (UPN) a zobrazovaný název uživatele, který operaci spustil. Další podrobnosti jsou zahrnuté ve formátu JSON.

Zobrazit historická přiřazení rolí aplikace, která nebyla provedena prostřednictvím Entitlement Management.

Pokud jste nakonfigurovali odesílání událostí protokolu auditu do služby Azure Monitor, můžete k zobrazení protokolů auditu uchovávaných ve službě Azure Monitor použít integrované sešity a vlastní sešity.

Sešit 'Aktivita přiřazení role aplikace' ukazuje, zda došlo ke změnám přiřazení rolí aplikace, které nebyly například způsobeny přiřazením přístupového balíčku, ale přímo tím, že globální správce přiřadil uživatele k roli aplikace.

  1. V Centru pro správu Microsoft Entra vyberte Identita a pak v části Monitorování a stav vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.

  2. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  3. Vyberte sešit s názvem přiřazení rolí v aplikaci.

    Zobrazení přiřazení rolí aplikace

  4. Pokud se rozhodnete vynechat aktivitu nároků, zobrazí se jenom změny rolí aplikace, které nebyly provedeny správou nároků. Pokud by například globální správce přímo přiřadil uživatele k roli aplikace, zobrazí se řádek.

Další kroky