Visa rapporter och loggar i berättigandehantering

Rapporterna för berättigandehantering och Microsoft Entra-granskningsloggen innehåller mer information om vilka resurser användarna har åtkomst till. Som administratör kan du visa åtkomstpaket och resurstilldelningar för en användare och visa begärandeloggar i granskningssyfte eller bestämma status för en användares begäran. I den här artikeln beskrivs hur du använder rapporter för berättigandehantering och Microsoft Entra-granskningsloggar.

Den här artikeln beskriver hur du visar rapporter om aktuella objekt i berättigandehantering. Information om hur du behåller och rapporterar om historiska Microsoft Entra-objekt, till exempel användare eller programrolltilldelningar, finns i Anpassade rapporter i Azure Data Explorer (ADX) med data från Microsoft Entra ID.

Titta på följande video för att lära dig hur du visar vilka resurser användare har åtkomst till i berättigandehantering:

Visa användare som har tilldelats ett åtkomstpaket

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med den här rapporten kan du visa en lista över alla användare som har tilldelats ett åtkomstpaket.

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Åtkomstpaket för rättighetshantering>

3. På sidan Åtkomstpaket väljer du det intressanta åtkomstpaketet.

4. I den vänstra menyn väljer du Tilldelningar och sedan Ladda ned.

5. Bekräfta filnamnet och välj sedan Ladda ned.

Visa åtkomstpaket för en användare

Med den här rapporten kan du visa en lista över alla åtkomstpaket som en användare kan begära och de åtkomstpaket som för närvarande är tilldelade till användaren.

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Identity governance Entitlement management Reports (Berättigandehanteringsrapporter>>

3. Välj Åtkomstpaket för en användare.

4. Välj Välj användare för att öppna fönstret Välj användare.

5. Leta upp användaren i listan och välj sedan Välj.

   Fliken Kan begära visar en lista över de åtkomstpaket som användaren kan begära. Den här listan bestäms av de begärandeprinciper som definierats för åtkomstpaketen.

   

6. Om det finns fler än en resursroll eller principer för ett åtkomstpaket väljer du posten resursroller eller principer för att se urvalsinformation.

7. Välj fliken Tilldelad för att se en lista över de åtkomstpaket som för närvarande är tilldelade till användaren. När ett åtkomstpaket tilldelas en användare innebär det att användaren har åtkomst till alla resursroller i åtkomstpaketet.

Visa resurstilldelningar för en användare

Med den här rapporten kan du visa en lista över de resurser som för närvarande har tilldelats till en användare i berättigandehantering. Den här rapporten är avsedd för resurser som hanteras med berättigandehantering. Användaren kan ha åtkomst till andra resurser i din katalog utanför berättigandehantering.

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Identity governance Entitlement management Reports (Berättigandehanteringsrapporter>>

3. Välj Resurstilldelningar för en användare.

4. Välj Välj användare för att öppna fönstret Välj användare.

5. Leta upp användaren i listan och välj sedan Välj.

   En lista över de resurser som för närvarande har tilldelats användaren visas. Listan visar också åtkomstpaketet och principen som de fick resursrollen från, tillsammans med start- och slutdatum för åtkomst.

   Om en användare har åtkomst till samma resurs i två eller flera paket kan du välja en pil för att se varje paket och princip.

   

Fastställa status för en användares begäran

Om du vill ha mer information om hur en användare begärde och fick åtkomst till ett åtkomstpaket kan du använda Microsoft Entra-granskningsloggen. I synnerhet kan du använda loggposterna EntitlementManagement i kategorierna och UserManagement för att få mer information om bearbetningsstegen för varje begäran.

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Granskningsloggar för rättighetshantering>

3. Överst ändrar du Kategorin till antingen EntitlementManagement eller UserManagement, beroende på vilken granskningspost du letar efter.

4. Välj Använd.

5. Om du vill ladda ned loggarna väljer du Ladda ned.

När Microsoft Entra-ID tar emot en ny begäran skriver det en granskningspost, där kategorin är EntitlementManagement och aktiviteten vanligtvis User requests access package assignmentär . Om en direkttilldelning har skapats i administrationscentret Administrator directly assigns user to access package i granskningsposten och användaren som utför tilldelningen identifieras av ActorUserPrincipalName.

Microsoft Entra-ID skriver extra granskningsposter medan begäran pågår, inklusive:

Kategori	Aktivitet	Status för begäran
EntitlementManagement	Auto approve access package assignment request	Begäran kräver inte godkännande
UserManagement	Create request approval	Begäran kräver godkännande
UserManagement	Add approver to request approval	Begäran kräver godkännande
EntitlementManagement	Approve access package assignment request	Begäran godkänd
EntitlementManagement	Ready to fulfill access package assignment request	Begäran godkänd eller kräver inte godkännande

När en användare tilldelas åtkomst skriver Microsoft Entra-ID en granskningspost för EntitlementManagement kategorin med AktivitetFulfill access package assignment. Användaren som fick åtkomsten identifieras av fältet ActorUserPrincipalName .

Om åtkomst inte har tilldelats skriver Microsoft Entra-ID:t en granskningspost för EntitlementManagement kategorin med Aktivitet antingen Deny access package assignment request, om begäran nekades av en godkännare eller Access package assignment request timed out (no approver action taken), om tidsgränsen för begäran uppstod innan en godkännare kunde godkänna.

När användarens tilldelning av åtkomstpaket upphör att gälla, avbryts av användaren eller tas bort av en administratör, skriver Microsoft Entra-ID en granskningspost för EntitlementManagement kategorin med Aktivitet för Remove access package assignment.

Ladda ned listan över anslutna organisationer

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Identitetsstyrning>Berättigandehantering>Anslutna organisationer.

3. På sidan Anslutna organisationer väljer du Ladda ned.

Identifiera användare som har eller kommer att ha inkompatibel åtkomst med ansvarsfördelning

Med inställningarna för separation av uppgifter i ett åtkomstpaket kan du konfigurera att en användare som är medlem i en säkerhetsgrupp eller som redan har en tilldelning till ett åtkomstpaket inte kan begära ett annat åtkomstpaket genom att markera dem som inkompatibla. Du kan sedan visa åtkomstpaket som är konfigurerade som inkompatiblaoch lista användare som har inkompatibel åtkomst till ett annat åtkomstpaket. Du kan också lista användare som redan har inkompatibelt åtkomst till ett annat åtkomstpaket i Microsoft Entra-administrationscenter, med hjälp av Microsoft Grapheller med hjälp av PowerShell.

Visa händelser för ett åtkomstpaket

Om du har konfigurerat för att skicka granskningslogghändelser till Azure Monitor kan du använda de inbyggda arbetsböckerna och anpassade arbetsböcker för att visa de granskningsloggar som behålls i Azure Monitor.

Om du vill visa händelser för ett åtkomstpaket måste du ha åtkomst till den underliggande Azure Monitor-arbetsytan (se Hantera åtkomst till loggdata och arbetsytor i Azure Monitor för information) och i någon av följande roller:

• Global administratör
• Säkerhetsadministratör
• Säkerhetsläsare
• Rapportläsare
• Appadministratör

1. I administrationscentret för Microsoft Entra väljer du Identitet och sedan Arbetsböcker under Övervakning och hälsa. Om du bara har en prenumeration går du vidare till steg 3.

2. Om du har flera prenumerationer väljer du den prenumeration som innehåller arbetsytan.

3. Välj arbetsboken med namnet Åtkomstpaketaktivitet.

4. I arbetsboken väljer du ett tidsintervall (ändra till Alla om det inte är säkert) och väljer ett åtkomstpaket-ID i listrutan för alla åtkomstpaket som hade aktivitet under det tidsintervallet. De händelser som är relaterade till åtkomstpaketet som inträffade under det valda tidsintervallet visas.

   

   Varje rad innehåller tid, åtkomstpaket-ID, namnet på åtgärden, objekt-ID, UPN och visningsnamnet för användaren som startade åtgärden. Mer information finns i JSON.

Visa historiska applikationsrolltilldelningar som inte har gjorts av behörighetshantering

Om du har konfigurerat för att skicka granskningslogghändelser till Azure Monitor kan du använda de inbyggda arbetsböckerna och anpassade arbetsböcker för att visa de granskningsloggar som behålls i Azure Monitor.

Arbetsboken programrolltilldelningsaktiviteten visar om det har gjorts ändringar i programrolltilldelningar för ett program som inte berodde på åtkomstpakettilldelningar, till exempel av en global administratör som direkt tilldelar en användare till en programroll.

1. I administrationscentret för Microsoft Entra väljer du Identitet och sedan Arbetsböcker under Övervakning och hälsa. Om du bara har en prenumeration går du vidare till steg 3.

2. Om du har flera prenumerationer väljer du den prenumeration som innehåller arbetsytan.

3. Välj arbetsboken med namnet Programrolltilldelningsaktivitet.

   

4. Om du väljer att utelämna behörighetsaktivitet visas endast ändringar i programroller som inte har gjorts av behörighetshantering. Du skulle till exempel se en rad om en global administratör hade tilldelat en användare direkt till en programroll.

Nästa steg

• Arkivera rapporter och loggar
• Felsöka berättigandehantering
• Skapa anpassade aviseringar för berättigandehantering
• Anpassade rapporter i Azure Data Explorer (ADX) med data från Microsoft Entra ID