Udostępnij za pośrednictwem

Wyświetlanie raportów i dzienników w zarządzaniu upoważnieniami

  • Artykuł

Raporty zarządzania upoważnieniami i dziennik inspekcji firmy Microsoft Entra zawierają więcej szczegółów na temat zasobów, do których użytkownicy mają dostęp. Jako administrator możesz wyświetlić pakiety dostępu i przypisania zasobów dla użytkownika i wyświetlić dzienniki żądań na potrzeby inspekcji lub określić stan żądania użytkownika. W tym artykule opisano sposób używania raportów zarządzania upoważnieniami i dzienników inspekcji firmy Microsoft Entra.

W tym artykule opisano sposób wyświetlania raportów dotyczących bieżących obiektów w zarządzaniu upoważnieniami. Aby zachować i raportować historyczne obiekty Microsoft Entra, takie jak użytkownicy lub przypisania ról aplikacji, zobacz Dostosowane raporty w usłudze Azure Data Explorer (ADX) przy użyciu danych z Microsoft Entra ID.

Obejrzyj poniższy film wideo, aby dowiedzieć się, do jakich zasobów użytkownicy mają dostęp w zarządzaniu upoważnieniami:

Wyświetlanie użytkowników przypisanych do pakietu dostępu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Ten raport umożliwia wyświetlenie listy wszystkich użytkowników przypisanych do pakietu dostępu.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Na stronie Pakiety dostępu wybierz interesujący cię pakiet dostępu.

  4. W menu po lewej stronie wybierz pozycję Przypisania, a następnie wybierz pozycję Pobierz.

  5. Potwierdź nazwę pliku, a następnie wybierz pozycję Pobierz.

Wyświetlanie pakietów dostępu dla użytkownika

Ten raport umożliwia wyświetlenie listy wszystkich pakietów dostępu, których użytkownik może zażądać, oraz pakietów dostępu, które są obecnie przypisane do użytkownika.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

  3. Wybierz pozycję Pakiety dostępu dla użytkownika.

  4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

  5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

    Na karcie Może być wyświetlana lista pakietów dostępu, których użytkownik może zażądać. Ta lista jest określana przez zasady żądań zdefiniowane dla pakietów dostępu.

    Pakiety dostępu dla użytkownika

  6. Jeśli dla pakietu dostępu istnieje więcej niż jedna rola lub zasady zasobów, wybierz pozycję Role zasobów lub zasady, aby wyświetlić szczegóły wyboru.

  7. Wybierz kartę Przypisane , aby wyświetlić listę pakietów dostępu aktualnie przypisanych do użytkownika. Po przypisaniu pakietu dostępu do użytkownika oznacza to, że użytkownik ma dostęp do wszystkich ról zasobów w pakiecie dostępu.

Wyświetlanie przypisań zasobów dla użytkownika

Ten raport umożliwia wyświetlenie listy zasobów aktualnie przypisanych do użytkownika w zarządzaniu upoważnieniami. Ten raport dotyczy zasobów zarządzanych przy użyciu zarządzania upoważnieniami. Użytkownik może mieć dostęp do innych zasobów w katalogu poza zarządzaniem upoważnieniami.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do strony Zarządzanie tożsamościami>Raporty zarządzania upoważnieniami.>

  3. Wybierz pozycję Przypisania zasobów dla użytkownika.

  4. Wybierz pozycję Wybierz użytkowników , aby otworzyć okienko Wybierz użytkowników.

  5. Znajdź użytkownika na liście, a następnie wybierz pozycję Wybierz.

    Zostanie wyświetlona lista zasobów aktualnie przypisanych do użytkownika. Lista zawiera również pakiet dostępu i zasady, z których mają rolę zasobu, wraz z datą rozpoczęcia i zakończenia dostępu.

    Jeśli użytkownik uzyskał dostęp do tego samego zasobu w co najmniej dwóch pakietach, możesz wybrać strzałkę, aby wyświetlić każdy pakiet i zasady.

    Przypisania zasobów dla użytkownika

Określanie stanu żądania użytkownika

Aby uzyskać dodatkowe informacje na temat sposobu, w jaki użytkownik zażądał i otrzymał dostęp do pakietu dostępu, możesz użyć dziennika inspekcji firmy Microsoft Entra. W szczególności możesz użyć rekordów dziennika w EntitlementManagement kategorii i UserManagement , aby uzyskać więcej informacji na temat kroków przetwarzania dla każdego żądania.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do obszaru Zarządzanie tożsamościami>Dzienniki inspekcji zarządzania upoważnieniami.>

  3. W górnej części zmień kategorięna EntitlementManagement lub UserManagement, w zależności od rekordu inspekcji, którego szukasz.

  4. Wybierz Zastosuj.

  5. Aby pobrać dzienniki, wybierz pozycję Pobierz.

Gdy identyfikator Entra firmy Microsoft odbiera nowe żądanie, zapisuje rekord inspekcji, w którym EntitlementManagement, a działanie to zwykle User requests access package assignment. Jeśli bezpośrednie przypisanie utworzone w centrum administracyjnym firmy Microsoft Entra, pole Działanie rekordu inspekcji to Administrator directly assigns user to access package, a użytkownik wykonujący przypisanie jest identyfikowany przez element ActorUserPrincipalName.

Identyfikator Entra firmy Microsoft zapisuje dodatkowe rekordy inspekcji, gdy żądanie jest w toku, w tym:

Kategoria Działanie Stan żądania
EntitlementManagement Auto approve access package assignment request Żądanie nie wymaga zatwierdzenia
UserManagement Create request approval Żądanie wymaga zatwierdzenia
UserManagement Add approver to request approval Żądanie wymaga zatwierdzenia
EntitlementManagement Approve access package assignment request Wniosek zatwierdzony
EntitlementManagement Ready to fulfill access package assignment request Żądanie zatwierdzone lub nie wymaga zatwierdzenia

Gdy użytkownik ma przypisany dostęp, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniemFulfill access package assignment. Użytkownik, który otrzymał dostęp, jest identyfikowany przez pole ActorUserPrincipalName .

Jeśli dostęp nie został przypisany, identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z Deny access package assignment request , jeśli żądanie zostało odrzucone przez osoby zatwierdzające lub Access package assignment request timed out (no approver action taken), jeśli upłynął limit czasu żądania przed zatwierdzeniem osoby zatwierdzającej.

Gdy przypisanie pakietu dostępu użytkownika wygaśnie, zostanie anulowane przez użytkownika lub usunięte przez administratora, a następnie identyfikator Entra firmy Microsoft zapisuje rekord inspekcji dla EntitlementManagement kategorii z działaniemRemove access package assignment.

Pobieranie listy połączonych organizacji

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji >>tożsamości Połączone organizacje.

  3. Na stronie Połączone organizacje wybierz pozycję Pobierz.

Identyfikowanie użytkowników, którzy mają lub będą mieli niezgodny dostęp w kontekście rozdzielenia obowiązków

Dzięki rozdzieleniu ustawień obowiązków w pakiecie dostępu można skonfigurować użytkownika, który jest członkiem grupy zabezpieczeń lub który ma już przypisanie do jednego pakietu dostępu, nie może zażądać innego pakietu dostępu, oznaczając je jako niezgodne. Następnie można wyświetlić pakiety dostępu skonfigurowane jako niezgodnei wyświetlić listę użytkowników, którzy będą mieli niezgodny dostęp do innego pakietu dostępu. Możesz również wylistować użytkowników, którzy mają już niezgodny dostęp do innego pakietu dostępu w Microsoft Entra Admin Center, za pomocą Microsoft Graphlub za pomocą PowerShell.

Wyświetlanie zdarzeń dla pakietu dostępu

Jeśli skonfigurowano wysyłanie zdarzeń dziennika inspekcji do usługi Azure Monitor, możesz użyć wbudowanych skoroszytów i skoroszytów niestandardowych do wyświetlania dzienników inspekcji przechowywanych w usłudze Azure Monitor.

Aby wyświetlić zdarzenia pakietu dostępu, musisz mieć dostęp do bazowego obszaru roboczego usługi Azure Monitor (zobacz Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor , aby uzyskać informacje) i w jednej z następujących ról:

  • Globalny administrator usługi
  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń
  • Czytelnik raportów
  • Administrator aplikacji

  1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Tożsamość, a następnie wybierz pozycję Skoroszyty w obszarze Monitorowanie i kondycja. Jeśli masz tylko jedną subskrypcję, przejdź do kroku 3.

  2. Jeśli masz wiele subskrypcji, wybierz subskrypcję zawierającą obszar roboczy.

  3. Wybierz skoroszyt o nazwie Działanie pakietu programu Access.

  4. W tym skoroszycie wybierz zakres czasu (zmień na Wszystkie , jeśli nie jest pewien) i wybierz identyfikator pakietu dostępu z listy rozwijanej wszystkich pakietów dostępu, które miały działanie w tym zakresie czasu. Zostaną wyświetlone zdarzenia związane z pakietem dostępu, który wystąpił w wybranym przedziale czasu.

    Wyświetlanie zdarzeń pakietu dostępu

    Każdy wiersz zawiera czas, identyfikator pakietu dostępu, nazwę operacji, identyfikator obiektu, nazwę UPN i nazwę wyświetlaną użytkownika, który rozpoczął operację. Więcej szczegółów znajduje się w formacie JSON.

Wyświetlanie historycznych przypisań ról aplikacji, które nie zostały dokonane przez zarządzanie upoważnieniami

Jeśli skonfigurowano wysyłanie zdarzeń dziennika inspekcji do usługi Azure Monitor, możesz użyć wbudowanych skoroszytów i skoroszytów niestandardowych do wyświetlania dzienników inspekcji przechowywanych w usłudze Azure Monitor.

Skoroszyt , działanie przypisywania roli aplikacji, pokazuje, czy wprowadzono zmiany w przypisaniach ról aplikacji dla aplikacji, które nie były wynikiem przypisań pakietów dostępowych, lecz wynikały z działań takich jak bezpośrednie przypisanie użytkownika do roli aplikacji przez administratora globalnego.

  1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Tożsamość, a następnie wybierz pozycję Skoroszyty w obszarze Monitorowanie i kondycja. Jeśli masz tylko jedną subskrypcję, przejdź do kroku 3.

  2. Jeśli masz wiele subskrypcji, wybierz subskrypcję zawierającą obszar roboczy.

  3. Wybierz skoroszyt o nazwie Działanie przypisania roli aplikacji.

    Wyświetlanie przypisań ról aplikacji

  4. Jeśli wybierzesz opcję pominięcia działania uprawnień, zostaną wyświetlone tylko zmiany ról aplikacji, które nie zostały wprowadzone przez zarządzanie upoważnieniami. Na przykład zostanie wyświetlony wiersz, jeśli administrator globalny bezpośrednio przypisał użytkownika do roli aplikacji.

Następne kroki