Просмотр отчетов и журналов в управлении правами

Отчеты по управлению правами и журнал аудита Microsoft Entra содержат дополнительные сведения о том, к каким ресурсам у пользователей есть доступ. Администратор может просматривать пакеты доступа и назначения ресурсов для пользователя и просматривать журналы запросов для целей аудита или определять состояние запроса пользователя. В этой статье описывается, как использовать отчеты об управлении правами и журналы аудита Microsoft Entra.

В этой статье описывается, как просматривать отчеты о текущих объектах в управлении правами. Сведения о сохранении и отчете об исторических объектах Microsoft Entra, таких как пользователи или назначения ролей приложений, см. в статье Настраиваемые отчеты в Azure Data Explorer (ADX) с помощью данных из идентификатора Microsoft Entra ID.

Просмотрите следующее видео, чтобы узнать, как просмотреть ресурсы, к которым у пользователей есть доступ в управлении правами:

Просмотр пользователей, назначенных пакету доступа

Этот отчет позволяет перечислить всех пользователей, которым назначен пакет доступа.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

3. На странице пакетов Access выберите интересующий пакет доступа.

4. В меню слева выберите "Назначения", а затем нажмите кнопку "Скачать".

5. Подтвердите имя файла и нажмите кнопку "Скачать".

Просмотр пакетов для доступа для пользователя

Этот отчет позволяет получить список всех пакетов для доступа, которые может запросить пользователь, а также пакетов для доступа, которые в настоящее время назначены пользователю.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к отчетам по управлению правами управления>

3. Выберите пакеты Access для пользователя.

4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

   На вкладке Can request (Можно запрашивать) отображается список пакетов для доступа, которые может запрашивать пользователь. Этот список определяется политиками запросов, определенными для пакетов для доступа.

   

6. Если для пакета доступа существует несколько ролей ресурсов или политик, выберите роли ресурсов или запись политик, чтобы просмотреть сведения о выборе.

7. Выберите вкладку "Назначено", чтобы просмотреть список пакетов доступа, назначенных пользователю. Назначение пользователю пакета для доступа значит, что пользователю предоставляется доступ ко всем ролям ресурсов в пакете для доступа.

Просмотр назначений ресурсов для пользователя

Этот отчет позволяет получить список ресурсов, которые в настоящее время назначены пользователю в управлении правами. Этот отчет предназначен для ресурсов, управляемых с помощью управления правами. Пользователь может получить доступ к другим ресурсам в вашем каталоге за пределами управления правами.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к отчетам по управлению правами управления>

3. Выберите назначения ресурсов для пользователя.

4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

   Отобразится список ресурсов, назначенных пользователю в данный момент. Кроме того, в списке будут показаны пакет для доступа и политика, из которых получена роль ресурсов, а также даты начала и окончания предоставления доступа.

   Если пользователь получил доступ к одному ресурсу в двух или более пакетах, можно выбрать стрелку, чтобы просмотреть каждый пакет и политику.

   

Определение состояния запроса пользователя

Чтобы получить дополнительные сведения о том, как пользователь запрашивал и получил доступ к пакету доступа, можно использовать журнал аудита Microsoft Entra. В частности, можно использовать записи журнала в EntitlementManagement категориях и UserManagement получить дополнительные сведения о шагах обработки для каждого запроса.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к >

3. В верхней части измените значение параметра Категория на EntitlementManagement или UserManagement, в зависимости от записи аудита, которую вы ищете.

4. Выберите Применить.

5. Чтобы скачать журналы, нажмите кнопку "Скачать".

Когда идентификатор Microsoft Entra получает новый запрос, он записывает запись аудита, в которой категория и EntitlementManagementдействие обычно User requests access package assignment. Если прямое назначение, созданное в Центре администрирования Microsoft Entra, поле действияопределяется Administrator directly assigns user to access package.

Идентификатор Microsoft Entra записывает дополнительные записи аудита во время выполнения запроса, в том числе:

Категория	Действие (Activity)	Статус запроса
EntitlementManagement	Auto approve access package assignment request	Запрос не требует утверждения
UserManagement	Create request approval	Запрос требует утверждения
UserManagement	Add approver to request approval	Запрос требует утверждения
EntitlementManagement	Approve access package assignment request	Запрос утвержден
EntitlementManagement	Ready to fulfill access package assignment request	Запрос утвержден или не требует утверждения

Когда пользователю назначен доступ, идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действиемFulfill access package assignment. Пользователь, получивший доступ, идентифицируется по полю ActorUserPrincipalName.

Если доступ не был назначен, идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с либо, если запрос был отклонен утверждающий, либо Deny access package assignment request, если запрос истек до утверждения утверждающего.

Когда срок действия назначения пакета доступа пользователя истекает, отменяется пользователем или удаляется администратором, то идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действиемRemove access package assignment.

Скачивание списка подключенных организаций

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к подключенным организациям по управлению правами управления>

3. На странице "Подключенные организации" нажмите кнопку "Скачать".

Определение пользователей, имеющих или у которых несовместимый доступ с разделением обязанностей

С разделением параметров обязанностей в пакете доступа можно настроить, что пользователь, который является членом группы безопасности или у которого уже есть назначение одному пакету доступа, не может запрашивать другой пакет доступа, помечая их как несовместимые. Затем можно просматривать пакеты доступа, настроенные как несовместимые, и перечислить пользователей, которые будут иметь несовместимый доступ к другому пакету доступа. Вы также можете список пользователей, которые уже имеют несовместимый доступ к другому пакету доступа в Центре администрирования Microsoft Entra, с помощьюMicrosoft Graph или с помощью PowerShell.

Просмотр событий для пакета доступа

Если вы настроили отправку событий журнала аудита в Azure Monitor, можно использовать встроенные книги и пользовательские книги для просмотра журналов аудита, сохраненных в Azure Monitor.

Чтобы просмотреть события для пакета доступа, необходимо иметь доступ к базовой рабочей области Azure Monitor (Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor) и в одной из следующих ролей:

• Глобальный администратор
• Администратор безопасности
• Читатель сведений о безопасности
• Читатель отчетов
• Администратор приложений

1. В Центре администрирования Microsoft Entra выберите "Удостоверение ", а затем выберите книги в разделе "Мониторинг и работоспособности". Если у вас только одна подписка, переходите к 3 шагу:

2. Если у вас несколько подписок, выберите ту, в которой есть рабочая область.

3. Выберите книгу, которая называется Действие пакета для доступа.

4. В этой книге выберите диапазон времени (измените значение на Все, если не уверены), и выберите идентификатор пакета доступа из раскрывающегося списка всех пакетов доступа, в которых была активность в течении этого интервала времени. Отобразятся события, связанные с пакетом доступа, который появлялся в течении выбранного интервала времени.

   

   Каждая строка включает время, доступ к идентификатору пакета, имя операции, идентификатор объекта, имя субъекта-пользователя и отображаемое имя пользователя, запустившего операцию. Дополнительные сведения включены в JSON.

Просмотр исторических назначений ролей приложения, которые не были сделаны Управлением правами доступа

Если вы настроили отправку событий журнала аудита в Azure Monitor, можно использовать встроенные книги и пользовательские книги для просмотра журналов аудита, сохраненных в Azure Monitor.

Книга о действии назначения ролей приложения показывает, были ли изменения в назначении ролей приложения, которые не были вызваны назначениями пакетов доступа, например, когда глобальный администратор напрямую назначает пользователя на роль в приложении.

1. В Центре администрирования Microsoft Entra выберите "Удостоверение ", а затем выберите книги в разделе "Мониторинг и работоспособности". Если у вас только одна подписка, переходите к 3 шагу:

2. Если у вас несколько подписок, выберите ту, в которой есть рабочая область.

3. Выберите рабочую книгу под названием назначение ролей для приложения.

   

4. Если вы выбрали опущение действий по управлению правами, отображаются только изменения ролей приложений, которые не были сделаны управлением правами. Например, вы увидите строку, если глобальный администратор напрямую назначил пользователю роль приложения.

Следующие шаги

• Архивация отчетов и журналов
• Устранение неполадок управления правами
• Создание настраиваемых оповещений для управления правами
• Настраиваемые отчеты в Azure Data Explorer (ADX) с использованием данных из Microsoft Entra ID