Condividi tramite


Visualizzare la cronologia delle attività e dei controlli per i ruoli delle risorse di Azure in Privileged Identity Management (PIM)

Con Privileged Identity Management (PIM) in Microsoft Entra ID, è possibile visualizzare la cronologia di attività, attivazioni e controlli per i ruoli delle risorse di Azure all'interno dell'organizzazione. tra cui sottoscrizioni, gruppi di risorse e anche macchine virtuali. Ogni risorsa nell'interfaccia di amministrazione di Microsoft Entra che sfrutta la funzionalità di controllo degli accessi in base al ruolo di Azure può usare tutte le funzionalità di sicurezza e gestione del ciclo di vita in Privileged Identity Management. Se si vogliono conservare i dati di controllo per più tempo rispetto al periodo di conservazione predefinito, è possibile usare Monitoraggio di Azure per instradarli a un account di archiviazione di Azure. Per altre informazioni, vedere Archiviare i log di Microsoft Entra in un account di archiviazione di Azure.

Nota

Se l'organizzazione ha funzioni di gestione esternalizzate a un provider di servizi che usa Azure Lighthouse, le assegnazioni dei ruoli autorizzate da tale provider di servizi non verranno visualizzate qui.

Visualizzare attività e attivazioni

Per vedere quali azioni ha compiuto un utente specifico in varie risorse, è possibile visualizzare l'attività della risorsa Azure associata a un determinato periodo di attivazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Risorse di Azure.

  3. Selezionare la risorsa di cui si vogliono visualizzare le attività e le attivazioni.

  4. Selezionare Ruoli o Membri.

  5. Seleziona un utente.

    Viene visualizzato un riepilogo delle azioni dell'utente nelle risorse di Azure per data. Mostra anche le attivazioni recenti del ruolo nello stesso periodo di tempo.

    Screenshot dei dettagli dell'utente con riepilogo delle attività delle risorse e attivazioni dei ruoli.

  6. Selezionare un'attivazione del ruolo specifica per visualizzare i dettagli e l'attività delle risorse di Azure corrispondente che si è verificata mentre l'utente era attivo.

    Screenshot dei dettagli dell'attivazione dei ruoli selezionati e dell'attività.

Esportare le assegnazioni di ruolo con gli elementi figlio

Potrebbe essere previsto un requisito di conformità in base al quale è necessario fornire un elenco completo di assegnazione di ruolo ai revisori. Privileged Identity Management consente di eseguire query delle assegnazioni di ruolo in una risorsa specifica, incluse le assegnazioni di ruolo per tutte le risorse figlio. In precedenza risultava difficile per gli amministratori ottenere un elenco completo di assegnazioni di ruolo per una sottoscrizione ed era necessario esportare le assegnazioni di ruolo per ogni risorsa specifica. Con Privileged Identity Management, è possibile cercare tutte le assegnazioni di ruolo attive e idonee di una sottoscrizione, incluse quelle per tutti i gruppi di risorse e tutte le risorse.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Risorse di Azure.

  3. Selezionare la risorsa per cui esportare le assegnazioni di ruolo, ad esempio una sottoscrizione.

  4. Selezionare Assegnazioni.

  5. Selezionare Esporta per aprire il riquadro Esporta l'appartenenza.

    Screenshot che mostra il riquadro di esportazione dell'appartenenza per esportare tutti i membri.

  6. Selezionare Esporta tutti i membri per esportare tutte le assegnazioni di ruolo in un file CSV.

    Screenshot che mostra le assegnazioni dei ruoli esportate nel file CSV visualizzato in Excel.

Visualizzare la cronologia dei controlli delle risorse

Il controllo delle risorse offre una visualizzazione di tutte le attività del ruolo per una risorsa.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Risorse di Azure.

  3. Selezionare la risorsa per cui si vuole visualizzare la cronologia di controllo.

  4. Selezionare Controllo delle risorse.

  5. Filtrare la cronologia usando una data predefinita o un intervallo personalizzato.

    Screenshot che mostra l'elenco di controllo delle risorse con i filtri.

  6. Per Tipo di controllo, selezionare Attiva (assegnato + attivato).

    Screenshot che mostra l'elenco di controllo delle risorse filtrato in base al tipo di controllo Attiva.

  7. In Azioneselezionare (attività) per consentire a un utente di visualizzare i dettagli dell'attività dell'utente nelle risorse di Azure.

    Screenshot che mostra i dettagli dell'attività dell'utente per una determinata azione.

Visualizzare Controllo personale

Controllo personale consente di visualizzare l'attività del ruolo personale.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Risorse di Azure.

  3. Selezionare la risorsa per cui si vuole visualizzare la cronologia di controllo.

  4. Selezionare Controllo personale.

  5. Filtrare la cronologia usando una data predefinita o un intervallo personalizzato.

    Screenshot che mostra un elenco di controllo per l'utente corrente.

Nota

L'accesso alla cronologia di audit richiede almeno il ruolo di amministratore ruolo con privilegi.

Ottenere motivo, responsabile approvazione e numero di ticket per gli eventi di approvazione

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identità>Monitoraggio e integrità>Log di controllo.

  3. Usare il filtro Servizio per visualizzare solo gli eventi di controllo per il servizio Privileged Identity Management. Nella pagina Log di controllo è possibile:

    • Vedere il motivo di un evento di controllo nella colonna Motivo stato.
    • Vedere il responsabile approvazione nella colonna Avviato da (soggetto) per l'evento "richiesta di aggiunta membro al ruolo approvata".

    Screenshot che mostra il filtro del log di controllo per il servizio PIM.

  4. Selezionare un evento del log di controllo per visualizzare il numero di ticket nella scheda Attività del riquadro Dettagli.

    Screenshot che mostra il numero di ticket per l'evento di controllo.

  5. È possibile visualizzare il richiedente (persona che attiva il ruolo) nella scheda Destinazioni del riquadro Dettagli per un evento di controllo. Esistono tre tipi di destinazione per i ruoli delle risorse di Azure:

    • Ruolo (Tipo = Ruolo)
    • Richiedente (Tipo = Altro)
    • Responsabile approvazione (Tipo = Utente)

    Screenshot che mostra come controllare il tipo di destinazione.

In genere, l'evento del log immediatamente sopra l'evento di approvazione è un evento per "aggiunta membro al ruolo completata" in cui l'oggetto Avviato da (soggetto) è il richiedente. Nella maggior parte dei casi, non è necessario trovare il richiedente nella richiesta di approvazione dal punto di vista del controllo.

Passaggi successivi