Exibir relatórios e logs em gerenciamento de direitos
Os relatórios de gerenciamento de direitos do Microsoft Entra e o log de auditoria fornecem detalhes adicionais sobre quais recursos os usuários têm acesso. Como administrador, você pode exibir os pacotes de acesso e as atribuições de recursos para um usuário e exibir logs de solicitação para fins de auditoria ou para determinar o status da solicitação de um usuário. Este artigo descreve como usar os relatórios de gerenciamento de direitos e os logs de auditoria do Azure AD.
Assista ao vídeo a seguir para saber como exibir a quais recursos os usuários têm acesso no gerenciamento de direitos:
Exibir usuários atribuídos a um pacote de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Este relatório permite listar todos os usuários atribuídos a um pacote de acesso.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.
Na página Pacotes de acesso, selecione o pacote de acesso de seu interesse.
No menu à esquerda, selecione Atribuições e selecione Baixar.
Confirme o nome do arquivo e selecione Baixar.
Exibir pacotes de acesso para um usuário
Este relatório permite que você liste todos os pacotes de acesso que um usuário pode solicitar e os pacotes de acesso atribuídos ao usuário no momento.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Relatórios.
Selecione Exibir pacotes de acesso para um usuário.
Selecione Selecionar usuários para abrir o painel Selecionar usuários.
Encontre o usuário na lista e, em seguida, selecione Selecionar.
A guia Pode solicitar exibe uma lista dos pacotes de acesso que o usuário pode solicitar. Essa lista é determinada pelas políticas de solicitação definidas para os pacotes de acesso.
Se houver mais de uma função ou política de recurso para um pacote de acesso, selecione a entrada de função ou políticas de recursos para ver os detalhes da seleção.
Selecione a guia Atribuído para ver uma lista dos pacotes de acesso atribuídos no momento ao usuário. Quando um pacote de acesso é atribuído a um usuário, isso significa que o usuário tem acesso a todas as funções de recurso no pacote de acesso.
Exibir atribuições de recursos para um usuário
Este relatório permite que você liste os recursos atualmente atribuídos a um usuário no gerenciamento de direitos. Esse relatório é para recursos gerenciados com gerenciamento de direitos. O usuário pode ter acesso a outros recursos em seu diretório fora do gerenciamento de direitos.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Relatórios.
Selecione Atribuições de recursos para um usuário.
Selecione Selecionar usuários para abrir o painel Selecionar usuários.
Encontre o usuário na lista e, em seguida, selecione Selecionar.
Uma lista dos recursos atribuídos ao usuário no momento é exibida. A lista também mostra o pacote de acesso e a política da qual ele obteve a função de recurso, juntamente com a data de início e de término do acesso.
Se um usuário tem acesso ao mesmo recurso em dois ou mais pacotes, selecione uma seta para ver cada pacote e política.
Determinar o status da solicitação de um usuário
Para obter detalhes adicionais sobre como um usuário solicitou e recebeu acesso a um pacote de acesso, você pode usar o log de auditoria do Microsoft Entra. Em particular, você pode usar os registros de log nas categorias EntitlementManagement
e UserManagement
para obter detalhes adicionais sobre as etapas de processamento de cada solicitação.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Logs de auditoria.
Na parte superior, altere a Categoria para
EntitlementManagement
ouUserManagement
, dependendo do registro de auditoria que você está procurando.Selecione Aplicar.
Para baixar os logs, selecione Baixar.
Quando o Microsoft Entra recebe uma nova solicitação, ele grava um registro de auditoria, no qual a Categoria é EntitlementManagement
e a Atividade normalmente é User requests access package assignment
. No caso de uma atribuição direta criada no centro de administração do Microsoft Entra, o campo Atividade do registro de auditoria é Administrator directly assigns user to access package
, e o usuário que realiza a atribuição é identificado pelo ActorUserPrincipalName.
O Microsoft Entra ID gravará os registros de auditoria adicionais enquanto a solicitação estiver em andamento, incluindo:
Categoria | Atividade | Status da solicitação |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
A solicitação não requer aprovação |
UserManagement |
Create request approval |
A solicitação requer aprovação |
UserManagement |
Add approver to request approval |
A solicitação requer aprovação |
EntitlementManagement |
Approve access package assignment request |
Solicitação aprovada |
EntitlementManagement |
Ready to fulfill access package assignment request |
Solicitação aprovada ou não requer aprovação |
Quando um usuário recebe acesso, a ID do Microsoft Entra grava um registro de auditoria na categoria EntitlementManagement
com a Atividade Fulfill access package assignment
. O usuário que recebeu o acesso é identificado pelo campo ActorUserPrincipalName.
Se o acesso não foi atribuído, a ID do Microsoft Entra gravará um registro de auditoria na categoria EntitlementManagement
com Atividade ou Deny access package assignment request
, se a solicitação foi negada por um aprovador ou Access package assignment request timed out (no approver action taken)
, se a solicitação tiver expirado antes que um aprovador pudesse aprovar.
Quando a atribuição de pacote de acesso do usuário expira, ela é cancelada pelo usuário ou removida por um administrador, assim, a ID do Microsoft Entra grava um registro de auditoria na categoria EntitlementManagement
com a Atividade de Remove access package assignment
.
Baixar lista de organizações conectadas
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Organizações conectadas.
Na página Organizações conectadas, selecione Baixar.
Exibir eventos para um pacote de acesso
Se você tiver configurado para enviar eventos de log de auditoria para Azure Monitor, poderá usar as pastas de trabalho internas e personalizadas para exibir os logs de auditoria retidos no Azure Monitor.
Para exibir eventos de um pacote de acesso, você deve ter acesso ao workspace do Azure monitor subjacente (consulte Gerenciar o acesso a dados de log e workspaces no Azure Monitor para obter informações) em uma das seguintes funções:
- Administrador Global
- Administrador de Segurança
- Leitor de segurança
- Leitor de Relatórios
- Administrador de Aplicativos
No Centro de administração do Microsoft Entra, selecione Identidade e, em seguida, Pastas de Trabalho em Monitoramento e integridade. Se você tiver apenas uma assinatura, pule para a etapa 3.
Se você tiver várias assinaturas, selecione a assinatura que contém o workspace:
Selecione a pasta de trabalho chamada Atividade do Pacote de Acesso.
Nessa pasta de trabalho, selecione um intervalo de tempo (altere para Todos se não tiver certeza) e selecione uma ID do pacote de acesso na lista suspensa de todos os pacotes de acesso que tinham atividade durante esse intervalo de tempo. Os eventos relacionados ao pacote de acesso que ocorreram durante o intervalo de tempo selecionado serão exibidos.
Cada linha inclui a hora, a ID do pacote de acesso, o nome da operação, a ID do objeto, o UPN e o nome de exibição do usuário que iniciou a operação. Mais detalhes estão incluídos no JSON.
Se você quiser ver se houve alterações nas atribuições de função de aplicativo para um aplicativo que não seja devido às atribuições de pacote de acesso, como por um Administrador Global que atribui um usuário diretamente a uma função de aplicativo, você pode selecionar a pasta de trabalho chamada Atividade de atribuição de funções de aplicativo.