Afficher les rapports et les journaux dans la gestion des droits d’utilisation

Les rapports de gestion des droits d’utilisation et le journal d’audit de Microsoft Entra fournissent des détails supplémentaires sur les ressources auxquelles les utilisateurs ont accès. En tant qu’administrateur, vous pouvez afficher les packages d’accès et les affectations de ressources pour un utilisateur et afficher les journaux des requêtes à des fins d’audit ou pour déterminer l’état de la demande d’un utilisateur. Cet article explique comment utiliser les rapports de gestion des droits d’utilisation et les journaux d’audit de Microsoft Entra.

Cet article explique comment afficher des rapports sur les objets actuels dans la gestion des droits d’utilisation. Pour conserver et rapporter des objets Microsoft Entra historiques, tels que des utilisateurs ou des attributions de rôles d’application, consultez Rapports personnalisés dans Azure Data Explorer (ADX) à l’aide de données de Microsoft Entra ID.

Regardez la vidéo suivante pour savoir comment afficher les ressources auxquelles les utilisateurs ont accès dans la gestion des droits d’utilisation :

Afficher des utilisateurs affectés à un package d’accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Ce rapport vous permet de répertorier tous les utilisateurs affectés à un package d’accès.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

3. Dans la page Packages d’accès, sélectionnez le package d’accès qui vous intéresse.

4. Dans le menu de gauche, sélectionnez Affectations, puis Télécharger.

5. Confirmez le nom du fichier, puis sélectionnez Télécharger.

Afficher les packages d’accès d’un utilisateur

Ce rapport vous permet de répertorier tous les packages d’accès qu’un utilisateur peut demander et les packages d’accès qui sont actuellement affectés à l’utilisateur.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Rapports.

3. Sélectionnez Packages d’accès d’un utilisateur.

4. Sélectionnez Sélectionner des utilisateurs pour ouvrir le volet Sélectionner des utilisateurs.

5. Recherchez l’utilisateur dans la liste, puis sélectionnez Sélectionner.

   L’onglet Peut demander affiche la liste des packages d’accès que l’utilisateur peut demander. Cette liste est déterminée par les stratégies de demande définies pour les packages d’accès.

   

6. S’il existe plusieurs stratégies ou rôles de ressource pour un package d’accès, sélectionnez l’entrée de stratégies ou rôles de ressource pour afficher les détails de la sélection.

7. Sélectionnez l’onglet Affecté pour afficher la liste des packages d’accès actuellement affectés à l’utilisateur. Lorsqu’un package d’accès est attribué à un utilisateur, cela signifie que l’utilisateur a accès à tous les rôles de ressource dans le package d’accès.

Afficher les attributions de ressources pour un utilisateur

Ce rapport vous permet de répertorier les ressources actuellement attribuées à un utilisateur dans la gestion des droits d’utilisation. Ce rapport est destiné aux ressources gérées avec la gestion des droits d’utilisation. L’utilisateur peut avoir accès à d’autres ressources dans votre répertoire en dehors de la gestion des droits d’utilisation.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Rapports.

3. Sélectionnez Attributions de ressources pour un utilisateur.

4. Sélectionnez Sélectionner des utilisateurs pour ouvrir le volet Sélectionner des utilisateurs.

5. Recherchez l’utilisateur dans la liste, puis sélectionnez Sélectionner.

   La liste des ressources actuellement affectées à l’utilisateur s’affiche. La liste affiche également le package d’accès et la stratégie à partir desquels ils ont le rôle de ressource, ainsi que la date de début et de fin pour l’accès.

   Si un utilisateur a obtenu l’accès à la même ressource dans plusieurs packages, vous pouvez sélectionner une flèche pour afficher chaque package et chaque stratégie.

   

Déterminer l’état de la demande d’un utilisateur

Pour obtenir des détails supplémentaires sur la façon dont un utilisateur a demandé et reçu l’accès à un package d’accès, vous pouvez utiliser le journal d’audit Microsoft Entra. En particulier, vous pouvez utiliser des enregistrements de journal dans les catégories EntitlementManagement et UserManagement pour obtenir plus de détails sur les étapes de traitement pour chaque requête.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Journaux d’audit.

3. En haut, remplacez la Catégorie par EntitlementManagement ou UserManagement, en fonction de l’enregistrement d’audit que vous recherchez.

4. Sélectionnez Appliquer.

5. Pour télécharger les journaux, sélectionnez Télécharger.

Lorsque Microsoft Entra reçoit une nouvelle demande, il écrit un enregistrement d’audit, dont la catégorie est EntitlementManagement et l’activité est généralement User requests access package assignment. Si une affectation directe est créée dans le centre d’administration Microsoft Entra, le champ Activité de l’enregistrement d’audit est Administrator directly assigns user to access package, et l’utilisateur effectuant l’affectation est identifié par ActorUserPrincipalName.

Microsoft Entra ID écrit des enregistrements d’audit supplémentaires quand la requête est en cours, y compris:

Catégorie	Activité	État de la demande
EntitlementManagement	Auto approve access package assignment request	La demande ne nécessite pas d’approbation
UserManagement	Create request approval	La demande nécessite une approbation
UserManagement	Add approver to request approval	La demande nécessite une approbation
EntitlementManagement	Approve access package assignment request	Demande approuvée
EntitlementManagement	Ready to fulfill access package assignment request	Demande approuvée, ou ne nécessite pas d’approbation

Lorsqu’un utilisateur se voit affecter l’accès, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activitéFulfill access package assignment. L’utilisateur qui a reçu l’accès est identifié par le champ ActorUserPrincipalName.

Si l’accès n’a pas été affecté, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activitéDeny access package assignment request, si la demande a été refusée par un approbateur, ou Access package assignment request timed out (no approver action taken), si la demande a expiré avant l’approbation.

Lorsque l’attribution du package d’accès d’un utilisateur expire, est annulé par l’utilisateur, ou supprimé par un administrateur, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activité de Remove access package assignment.

Télécharger la liste des organisations connectées

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Organisations connectées.

3. Dans la page Organisations connectées, sélectionnez Télécharger.

Identifier les utilisateurs qui ont ou auront un accès incompatible avec la séparation des tâches

Avec la séparation des paramètres de tâches sur un package d’accès, vous pouvez configurer qu’un utilisateur membre d’un groupe de sécurité ou qui a déjà une affectation à un package d’accès ne peut pas demander un autre package d’accès, en les marquant comme incompatibles. Vous pouvez ensuite afficher les packages d’accès configurés en tant queincompatibles, et répertorier les utilisateurs qui auront un accès incompatible à un autre package d’accès. Vous pouvez également répertorier les utilisateurs qui ont déjà un accès incompatible à un autre package d’accès dans le Centre d’administration Microsoft Entra, à l’aide de Microsoft Graphou à l’aide de PowerShell.

Visualiser les événements pour un package d’accès

Si vous avez effectué une configuration pour envoyer des événements de journal d’audit à Azure Monitor, vous pouvez utiliser les classeurs intégrés et les classeurs personnalisés pour afficher les journaux d’audit conservés dans Azure Monitor.

Pour voir les événements d’un package d’accès, vous devez avoir accès à l’espace de travail Azure Monitor sous-jacent (pour plus d’informations, consultez Gérer l’accès aux données du journal et les espaces de travail dans Azure Monitor) et dans un des rôles suivants :

• Administrateur général
• Security Administrator
• Lecteur de sécurité
• Lecteur de rapports
• Administrateur d’application

1. Dans le Centre d’administration Microsoft Entra, sélectionnez Identité, puis Classeurs sous Surveillance et intégrité. Si vous n’avez qu’un seul abonnement, passez à l’étape 3.

2. Si vous avez plusieurs abonnements, sélectionnez l’abonnement qui contient l’espace de travail.

3. Sélectionnez le classeur nommé Activité du package d’accès.

4. Dans ce classeur, sélectionnez une plage de temps (changez-la en Tout si vous n’êtes pas sûr), puis sélectionnez un ID de package d’accès dans la liste déroulante de tous les packages d’accès ayant eu une activité pendant cette période. Les événements liés au package d’accès qui se sont produits pendant l’intervalle de temps sélectionné s’affichent.

   

   Chaque ligne comprend l’heure, l’ID de package d’accès, le nom de l’opération, l’ID d’objet, l’UPN et le nom complet de l’utilisateur qui a démarré l’opération. Plus de détails sont inclus dans le JSON.

Afficher les attributions de rôles d’application historiques non effectuées par la gestion des droits d’utilisation

Si vous avez effectué une configuration pour envoyer des événements de journal d’audit à Azure Monitor, vous pouvez utiliser les classeurs intégrés et les classeurs personnalisés pour afficher les journaux d’audit conservés dans Azure Monitor.

Le classeur Activité d’attribution de rôle d’application montre s’il y a eu des changements dans les attributions de rôles d’une application, qui n’étaient pas dus à des attributions de package d’accès, par exemple lorsqu’un administrateur global attribue directement un utilisateur à un rôle d’application.

1. Dans le Centre d’administration Microsoft Entra, sélectionnez Identité, puis Classeurs sous Surveillance et intégrité. Si vous n’avez qu’un seul abonnement, passez à l’étape 3.

2. Si vous avez plusieurs abonnements, sélectionnez l’abonnement qui contient l’espace de travail.

3. Sélectionnez le classeur nommé Activité d’attribution de rôle d’application.

   

4. Si vous choisissez d’omettre l’activité des droits d’utilisation, seules les modifications apportées aux rôles d’application qui n’ont pas été effectués par la gestion des droits sont affichées. Par exemple, vous verrez une ligne si un administrateur général avait directement affecté un utilisateur à un rôle d’application.

Étapes suivantes

• Archiver les rapports et les journaux
• Résoudre les problèmes de gestion des droits d’utilisation
• Créer des alertes personnalisées pour la gestion des droits d’utilisation
• Rapports personnalisés dans Azure Data Explorer (ADX) à l’aide de données de Microsoft Entra ID