在權利管理中,檢視報告和記錄
權利管理報告和Microsoft Entra 稽核記錄提供用戶可存取哪些資源的詳細數據。 系統管理員可以檢視使用者的存取套件和資源指派,也可以因應稽核所需而檢視要求記錄,或是判斷使用者要求的狀態。 本文說明如何使用權利管理報告和 Microsoft Entra 稽核記錄。
本文概述如何檢視權利管理中目前物件的報告。 若要保留和報告歷程記錄 Microsoft Entra 物件,例如使用者或應用程式角色指派,請參閱在 Azure 數據總管中利用 Microsoft Entra ID的資料來自定義報告
請觀看下列影片,了解如何在權利管理中,檢視使用者有權存取的資源項目:
檢視指派給存取套件的使用者
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
此報告可讓您列出指派給存取套件的所有使用者。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 [存取套件] 頁面上,選取感興趣的存取套件。
在左側功能表中,選取 [指派],然後選取 [下載]。
確認檔名,然後選取 [ 下載]。
檢視使用者的存取套件
此報表可讓您列出使用者可以要求的存取套件,以及目前指派給使用者的存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]> [權利管理]> [報告]。
選取 [使用者的存取套件]。
選取 [選取使用者],以開啟 [選取使用者] 窗格。
在清單中尋找使用者,然後選取 [選取]。
[可以要求] 索引標籤中,會顯示使用者可以要求的存取套件清單。 此清單取決於定義存取套件的要求原則。
若存取套件具有多個資源角色或原則,請選取 [資源角色] 或 [原則] 項目,以查看選取的詳細資料。
選取 [指派] 索引標籤,可查看目前指派給使用者的存取套件清單。 將存取套件指派給使用者時,就表示該使用者有權存取存取套件中所有的資源角色。
檢視使用者的資源指派
此報表可列出您在權利管理中,目前指派給使用者的資源。 此報告適用於權利管理功能管理的資源。 使用者可能有權存取您目錄中,但不在權利管理範圍內的其他資源。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]> [權利管理]> [報告]。
選取 [使用者的資源指派] 。
選取 [選取使用者],以開啟 [選取使用者] 窗格。
在清單中尋找使用者,然後選取 [選取]。
目前指派給該使用者的資源清單會隨即顯示。 此清單也會顯示所得資源角色的來源存取套件和原則,以及存取權的開始與結束日期。
若使用者能夠存取兩個或多個套件中的同一項資源,您可以選取箭頭,查看每個套件和原則。
判斷使用者要求的狀態
若要取得使用者如何要求和接收存取套件存取權的額外詳細數據,您可以使用 Microsoft Entra 稽核記錄。 特別是,您可以使用 和 EntitlementManagement
類別中的UserManagement
記錄檔記錄,取得每個要求處理步驟的詳細數據。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]> [權利管理]> [稽核記錄]。
依據您所要尋找的稽核記錄,將頂端的 [類別] 變更為
EntitlementManagement
或UserManagement
。選取套用。
若要下載記錄,請選取 [下載]。
Microsoft Entra ID 每收到一個新要求,就會寫入一筆稽核記錄,其中 Category 會是 EntitlementManagement
,而 Activity 通常會是 User requests access package assignment
。 如果在 Microsoft Entra 系統管理中心建立的直接指派, 稽核記錄的 [活動 ] 欄位會是 Administrator directly assigns user to access package
,而執行指派的使用者會由 ActorUserPrincipalName 識別。
Microsoft Entra ID 會在要求進行時寫入額外的稽核記錄,包括:
類別 | 活動 | 要求狀態 |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
要求不需要核准 |
UserManagement |
Create request approval |
要求需要核准 |
UserManagement |
Add approver to request approval |
要求需要核准 |
EntitlementManagement |
Approve access package assignment request |
要求已核准 |
EntitlementManagement |
Ready to fulfill access package assignment request |
要求已核准,或不需要核准 |
當用戶獲指派存取權時,Microsoft Entra ID 會使用 EntitlementManagement
寫入類別的Fulfill access package assignment
稽核記錄。 接收存取權的使用者由 [ActorUserPrincipalName] 欄位指定。
若未指派存取權,Microsoft Entra ID 會寫入包含 EntitlementManagement
類別而 Activity 為下列之一的稽核記錄:Deny access package assignment request
(核准者拒絕要求),或 Access package assignment request timed out (no approver action taken)
(要求在核准者可以核准之前就已逾時)。
若使用者的存取套件指派到期、遭使用者取消,或遭系統管理員移除,Microsoft Entra ID 就會寫入包含 EntitlementManagement
類別 Activity 為 Remove access package assignment
的稽核記錄。
下載已連線組織清單
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]> [權利管理]> [已連線的組織]。
在 [已連線的組織] 頁面上,選取 [ 下載]。
識別具有或將具有不相容存取權的使用者,並區分職責
透過存取套件上的職責設定區隔,您可以設定屬於安全組成員或已指派給某個存取套件的用戶無法要求另一個存取套件,方法是將那些標示為不相容。 然後,您可以 檢視設定為不相容的存取套件,列出將存取另一個存取套件不相容的使用者。 您也可以 列出擁有與 Microsoft Entra Admin Center 中另一個存取套件 的不相容存取的使用者,利用 Microsoft Graph或是 透過 PowerShell。
檢視存取套件的事件
如果您已設定將稽核記錄事件傳送至 Azure 監視器,便可使用內建活頁簿和自訂活頁簿來檢視 Azure 監視器中保留的稽核記錄。
若要檢視存取套件的事件,您必須具有基礎 Azure 監視器工作區的存取權 (請參閱管理 Azure 監視器中的記錄資料和工作區存取權以取得資訊),並具有下列其中一個角色:
- 全域系統管理員
- 安全性系統管理員
- 安全性讀取者
- 報告讀取者
- 應用程式系統管理員
在 [Microsoft Entra 系統管理中心] 中,選取 [身分識別],然後選取 [監視與健康情況] 下的 [活頁簿]。 如果您只有一個訂用帳戶,請移至步驟 3。
如果您有多個訂用帳戶,請選取包含工作區的訂用帳戶。
選取名為「存取套件活動」的活頁簿。
在該活頁簿中,選取 [時間範圍] (如果不確定請變更為 [所有]),然後從該時間範圍期間有活動的所有存取套件下拉式清單中,選取存取套件識別碼。 將會顯示與所選時間範圍期間所發生之存取套件相關的事件。
每個資料列都包含時間、存取套件識別碼、作業名稱、物件識別碼、UPN,以及啟動作業的使用者顯示名稱。 JSON 中包含更多詳細數據。
檢視權利管理未進行的歷史應用程式角色指派
如果您已設定將稽核記錄事件傳送至 Azure 監視器,便可使用內建活頁簿和自訂活頁簿來檢視 Azure 監視器中保留的稽核記錄。
活頁簿 應用程式角色指派活動 顯示是否有應用程式角色指派的變更並非由於存取套件指派造成,例如全域管理員直接將使用者指派到應用程式角色的情況。
在 [Microsoft Entra 系統管理中心] 中,選取 [身分識別],然後選取 [監視與健康情況] 下的 [活頁簿]。 如果您只有一個訂用帳戶,請移至步驟 3。
如果您有多個訂用帳戶,請選取包含工作區的訂用帳戶。
選取名為
應用程式角色指派活動的活頁簿。 如果您選擇省略權限活動,則只會顯示非由權限管理進行的應用程式角色變更。 例如,如果全域管理員將使用者直接指派到應用程式角色,您就會看到一列資料。
下一步
- 封存報表和記錄
- 針對權利管理進行疑難排解
- 建立權利管理的自定義警示
- 使用來自 Microsoft Entra 識別符的數據,在 Azure 數據總管中 自定義報告