在权利管理中查看报表和日志
权利管理报告和 Microsoft Entra 审核日志提供有关用户对哪些资源具有访问权限的更多详细信息。 作为管理员,你可以查看用户的访问包和资源分配,并且可以查看请求日志以便进行审核或确定用户请求的状态。 本文介绍如何使用权利管理报告和 Microsoft Entra 审核日志。
本文概述了如何在权利管理中查看有关当前对象的报表。 若要保留和报告历史 Microsoft Entra 对象(例如用户或应用程序角色分配),请参阅 Azure 数据资源管理器 (ADX) 中使用 Microsoft Entra ID 数据的自定义报表。
观看以下视频,了解如何在“权利管理”中查看用户有权访问的资源:
查看分配给访问包的用户
提示
本文中的步骤可能因开始使用的门户而略有不同。
通过此报告,可以列出分配到访问包的所有用户。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“访问包”。
在“访问包”页上,选择所需的访问包。
在左侧菜单中,选择“分配”,然后选择“下载”。
确认文件名,然后单击“下载”。
查看用户的访问包
使用此报表,可以列出用户能够请求的所有访问包以及当前分配给该用户的访问包。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“报表”。
选择用户的访问包。
选择“选择用户”,打开“选择用户”窗格。
在列表中查找该用户,然后选择“选择”。
“可以请求”选项卡显示该用户可以请求的访问包的列表。 此列表由为访问包定义的请求策略确定。
如果某个访问包有多个资源角色或策略,请选择资源角色或策略条目,以查看所选项的详细信息。
选择“已分配”选项卡,查看当前已分配给该用户的访问包的列表。 向用户分配了访问包后,这就意味着该用户有权访问此访问包中所有的资源角色。
查看用户的资源分配
使用此报表可以列出权利管理中当前分配给用户的资源。 此报表适用于通过权利管理进行管理的资源。 用户可能有权访问权利管理之外的目录中的其他资源。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“报表”。
选择“用户的资源分配”。
选择“选择用户”,打开“选择用户”窗格。
在列表中查找该用户,然后选择“选择”。
这时会显示当前分配给该用户的资源列表。 此列表还显示这些资源从中获取资源角色的访问包和策略,同时还显示访问权限的开始和结束日期。
如果用户在两个或更多的包中获得了对同一资源的访问权限,你可以选择箭头来查看各个包和策略。
确定用户的请求的状态
若要更详细地了解用户如何请求访问某个访问包,以及如何接受对该包的访问,可以使用 Microsoft Entra 审核日志。 具体说来,可以使用 EntitlementManagement 和 UserManagement 类别中的日志记录来更详细地了解每个请求的处理步骤。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“审核日志”。
在顶部将“类别”更改为
EntitlementManagement或UserManagement,具体取决于要查找的审核记录。选择“应用”。
若要下载日志,请选择“下载”。
Microsoft Entra ID 在收到新请求时会写入一条审核记录,其中的“类别”为 ,“活动”通常为 EntitlementManagement。 如果是在 Microsoft Entra 管理中心内创建的直接分配,则审核记录的“活动”字段为 Administrator directly assigns user to access package,执行分配的用户通过 ActorUserPrincipalName 来标识。
Microsoft Entra ID 会在请求正在进行时写入更多的审核记录,包括:
| 类别 | 活动 | 请求状态 |
|---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
请求不需要审批 |
UserManagement |
Create request approval |
请求需要审批 |
UserManagement |
Add approver to request approval |
请求需要审批 |
EntitlementManagement |
Approve access package assignment request |
已批准请求 |
EntitlementManagement |
Ready to fulfill access package assignment request |
请求已获得批准,或者不需要审批 |
为用户分配访问权限以后,Microsoft Entra ID 会写入一条审核记录,其类别为 EntitlementManagement,其“活动”为 Fulfill access package assignment。 收到访问权限的用户按 ActorUserPrincipalName 字段进行标识。
如果未分配访问权限,则 Microsoft Entra ID 会写入这样一条审核记录,其类别为 EntitlementManagement,“活动”为 (如果审批者拒绝请求)或 Deny access package assignment request(如果在审批者可批准之前请求超时)。
如果用户的访问包分配过期、被用户取消,或者被管理员删除,则 Microsoft Entra ID 会写入一条审核记录,其类别为 EntitlementManagement,其“活动”为 。
下载连接的组织列表
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”“权利管理”>“连接的组织”。
在“连接的组织”页上,选择“下载”。
识别具有或将具有不兼容访问权限的用户,并分离职责
通过配置访问包上的职责分离设置,可以将属于安全组成员或已获得一个访问包分配的用户标记为不兼容,防止他们请求另一个访问包。 然后,可以 查看配置为不兼容的访问包,并 列出将无法访问另一个访问包的用户。 还可以使用 Microsoft Graph 或使用 PowerShell 列出在 Microsoft Entra Admin Center 中已具有对另一个访问包且不兼容的访问权限的用户。
查看访问包的事件
如果已配置为将审核日志事件发送到 Azure Monitor,则可以使用内置工作簿和自定义工作簿查看 Azure Monitor 中保留的审核日志。
若要查看访问包的事件,必须有权访问基础 Azure Monitor 工作区(有关信息,请参阅在 Azure Monitor 中管理对日志数据和工作区的访问)并充当以下角色之一:
- 全局管理员
- 安全管理员
- 安全读取者
- 报告读者
- 应用程序管理员
在 Microsoft Entra 管理中心,选择“标识”,然后在“监视和运行状况”下选择“工作簿”。 如果你只有一个订阅,请转到步骤 3。
如果你有多个订阅,请选择包含工作区的订阅。
选择名为“访问包活动”的工作簿。
在该工作簿中选择一个时间范围(如果不确定,请更改为“全部”),然后从所有访问包的下拉列表中,选择在该时间范围内发生了活动的访问包 ID。 随后会显示在所选时间范围内该访问包发生的相关事件。
每行包含时间、访问包 ID、操作名称、对象 ID、UPN,以及启动该操作的用户的显示名称。 JSON 中包含更多详细信息。
查看非由权利管理实施的过往的应用程序角色分配
如果已配置为将审核日志事件发送到 Azure Monitor,则可以使用内置工作簿和自定义工作簿查看 Azure Monitor 中保留的审核日志。
工作簿 应用角色分配活动 显示是否有应用程序角色的分配变更,这些变更不是由于访问包分配造成的,例如由全局管理员直接将用户分配到应用程序角色的情况。
在 Microsoft Entra 管理中心,选择“标识”,然后在“监视和运行状况”下选择“工作簿”。 如果你只有一个订阅,请转到步骤 3。
如果你有多个订阅,请选择包含工作区的订阅。
选择名为“应用程序角色分配活动”的工作簿。
如果选择忽略权限活动,则只会显示对未由权限管理进行的应用程序角色的更改。 例如,当一个全局管理员直接将用户分配到某个应用程序角色时,你就会看到一行。
