Sdílet prostřednictvím

Zobrazení sestav a protokolů ve správě nároků

  • Článek

Sestavy správy nároků a protokol auditu Microsoft Entra poskytují další podrobnosti o prostředcích, ke kterým mají uživatelé přístup. Jako správce můžete zobrazit přístupové balíčky a přiřazení zdrojů pro uživatele a zobrazit protokoly žádostí pro účely auditování nebo určit stav žádosti uživatele. Tento článek popisuje, jak používat sestavy správy nároků a protokoly auditu Microsoft Entra.

Tento článek popisuje, jak zobrazit reporty o aktuálních objektech v oblasti správy oprávnění. Pokud chcete zachovat a vykazovat historické objekty Microsoft Entra, například uživatele nebo přiřazení rolí aplikace, viz Přizpůsobené sestavy v Azure Data Exploreru (ADX) pomocí dat z Microsoft Entra ID.

V následujícím videu se dozvíte, jak zobrazit, ke kterým prostředkům mají uživatelé přístup při správě nároků:

Zobrazení uživatelů přiřazených k přístupovém balíčku

Tato sestava umožňuje zobrazit seznam všech uživatelů, kteří jsou přiřazeni k přístupovém balíčku.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky vyberte přístupový balíček, který zajímá.

  4. V nabídce vlevo vyberte Zadání a pak vyberte Stáhnout.

  5. Potvrďte název souboru a pak vyberte Stáhnout.

Zobrazení přístupových balíčků pro uživatele

Tato sestava umožňuje zobrazit seznam všech přístupových balíčků, které může uživatel požádat, a přístupové balíčky, které jsou aktuálně přiřazeny uživateli.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do sestav správy>nároků zásad správného řízení>identit.

  3. Vyberte přístupové balíčky pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Na kartě Může žádost se zobrazí seznam přístupových balíčků, které si uživatel může vyžádat. Tento seznam určuje zásady požadavků definované pro přístupové balíčky.

    Přístup k balíčkům pro uživatele

  6. Pokud pro přístupový balíček existuje více rolí prostředků nebo zásad, vyberte role prostředků nebo položku zásad, abyste zobrazili podrobnosti o výběru.

  7. Výběrem karty Přiřazeno zobrazíte seznam přístupových balíčků aktuálně přiřazených uživateli. Pokud je přístupový balíček přiřazen uživateli, znamená to, že uživatel má přístup ke všem rolím prostředků v přístupovém balíčku.

Zobrazení přiřazení zdrojů pro uživatele

Tato sestava umožňuje vypsat prostředky aktuálně přiřazené uživateli ve správě nároků. Tato sestava je určená pro prostředky spravované pomocí správy nároků. Uživatel může mít přístup k jiným prostředkům ve vašem adresáři mimo správu nároků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do sestav správy>nároků zásad správného řízení>identit.

  3. Vyberte přiřazení zdrojů pro uživatele.

  4. Výběrem možnosti Vybrat uživatele otevřete podokno Vybrat uživatele.

  5. Najděte uživatele v seznamu a pak vyberte Vybrat.

    Zobrazí se seznam prostředků aktuálně přiřazených uživateli. V seznamu se také zobrazuje přístupový balíček a zásady, ze které získaly roli prostředku, spolu s počátečním a koncovým datem pro přístup.

    Pokud uživatel získal přístup ke stejnému prostředku ve dvou nebo více balíčcích, můžete vybrat šipku a zobrazit každý balíček a zásady.

    Přiřazení zdrojů pro uživatele

Určení stavu žádosti uživatele

Pokud chcete získat další podrobnosti o tom, jak uživatel požadoval a přijal přístup k přístupovém balíčku, můžete použít protokol auditu Microsoft Entra. Konkrétně můžete použít záznamy protokolu v kategoriích EntitlementManagement a UserManagement získat další podrobnosti o krocích zpracování jednotlivých požadavků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do protokolů auditu správy nároků zásad>správného řízení>identit.

  3. V horní části změňte kategorii na buď EntitlementManagement nebo UserManagement, v závislosti na záznamu auditu, který hledáte.

  4. Vyberte Použít.

  5. Pokud chcete protokoly stáhnout, vyberte Stáhnout.

Když Microsoft Entra ID obdrží nový požadavek, zapíše záznam auditu, ve kterém a EntitlementManagement je obvykle . Pokud přímé přiřazení vytvořené v Centru pro správu Microsoft Entra, pole Aktivita záznamu auditu je a uživatel provádějící přiřazení je identifikován actorUserPrincipalNameAdministrator directly assigns user to access package.

Id Microsoft Entra zapisuje další záznamy auditu, zatímco probíhá požadavek, včetně:

Kategorie Aktivita Stav požadavku
EntitlementManagement Auto approve access package assignment request Požadavek nevyžaduje schválení.
UserManagement Create request approval Žádost vyžaduje schválení.
UserManagement Add approver to request approval Žádost vyžaduje schválení.
EntitlementManagement Approve access package assignment request Požadavek schválen
EntitlementManagement Ready to fulfill access package assignment request Žádost o schválení nebo nevyžaduje schválení

Když je uživateli přiřazen přístup, Microsoft Entra ID zapíše záznam auditu pro EntitlementManagement kategorii s aktivitouFulfill access package assignment. Uživatel, který získal přístup, je identifikován polem ActorUserPrincipalName .

Pokud nebyl přístup přiřazený, pak ID Microsoft Entra zapíše záznam auditu pro EntitlementManagement kategorii s buď , pokud byl žádost zamítnuta schvalovatelem, nebo Deny access package assignment requestpokud vypršel časový limit žádosti před schválením schvalovatele.

Když vyprší platnost přiřazení přístupového balíčku uživatele, zruší ho nebo ho odebere správce, pak Microsoft Entra ID zapíše záznam auditu pro EntitlementManagement kategorii s aktivitouRemove access package assignment.

Stažení seznamu propojených organizací

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>> organizací.

  3. Na stránce Připojené organizace vyberte Stáhnout.

Identifikace uživatelů, kteří mají nebo budou mít nekompatibilní přístup s oddělením povinností

S oddělením nastavení povinností v přístupovém balíčku můžete nakonfigurovat, aby uživatel, který je členem skupiny zabezpečení nebo který už má přiřazení k jednomu přístupovém balíčku, nemohl požádat o jiný přístupový balíček tím, že je označí jako nekompatibilní. Potom můžete zobrazit přístupové balíčky, které jsou nakonfigurované jako nekompatibilní, a seznam uživatelů, kteří budou mít nekompatibilní přístup k jinému přístupovém balíčku. Můžete také zobrazit seznam uživatelů, kteří již mají nekompatibilní přístup k jinému přístupovému balíčku v Centru pro správu Microsoft Entra, pomocí Microsoft Graphnebo pomocí PowerShell.

Zobrazení událostí pro přístupový balíček

Pokud jste nakonfigurovali odesílání událostí protokolu auditu do služby Azure Monitor, můžete k zobrazení protokolů auditu uchovávaných ve službě Azure Monitor použít integrované sešity a vlastní sešity.

Pokud chcete zobrazit události pro přístupový balíček, musíte mít přístup k podkladovému pracovnímu prostoru služby Azure Monitor (viz Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor , kde najdete informace) a v jedné z následujících rolí:

  • Globální správce
  • Správce zabezpečení
  • Čtenář zabezpečení
  • Čtenář sestav
  • Správce aplikace

  1. V Centru pro správu Microsoft Entra vyberte Identita a pak v části Monitorování a stav vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.

  2. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  3. Vyberte sešit s názvem Aktivita přístupového balíčku.

  4. V sešitu vyberte časový rozsah (pokud si nejste jistí) a v rozevíracím seznamu všech přístupových balíčků, které měly aktivitu během tohoto časového rozsahu, vyberte ID přístupového balíčku. Zobrazí se události související s přístupovým balíčkem, ke kterému došlo během vybraného časového rozsahu.

    Zobrazení událostí přístupového balíčku

    Každý řádek obsahuje čas, ID přístupového balíčku, název operace, ID objektu, hlavní název uživatele (UPN) a zobrazovaný název uživatele, který operaci spustil. Další podrobnosti jsou zahrnuté ve formátu JSON.

Zobrazit historická přiřazení rolí aplikací, která nebyla provedena správou nároků

Pokud jste nakonfigurovali odesílání událostí protokolu auditu do služby Azure Monitor, můžete k zobrazení protokolů auditu uchovávaných ve službě Azure Monitor použít integrované sešity a vlastní sešity.

Sešit 'Aktivita přiřazení role aplikace' ukazuje, zda došlo ke změnám přiřazení rolí aplikace, které nebyly například způsobeny přiřazením přístupového balíčku, ale přímo tím, že globální správce přiřadil uživatele k roli aplikace.

  1. V Centru pro správu Microsoft Entra vyberte Identita a pak v části Monitorování a stav vyberte Sešity. Pokud máte jenom jedno předplatné, přejděte ke kroku 3.

  2. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  3. Vyberte sešit s názvem aktivita přiřazení role aplikace.

    Zobrazení přiřazení rolí aplikace

  4. Pokud se rozhodnete vynechat aktivitu nároků, zobrazí se jenom změny rolí aplikace, které nebyly provedeny správou nároků. Pokud by například globální správce přímo přiřadil uživatele k roli aplikace, zobrazí se řádek.

Další kroky