Visualización de informes y registros en la administración de derechos

  • Artículo

Los informes de administración de derechos y el registro de auditoría de Microsoft Entra ofrecen detalles adicionales sobre los recursos a los que tienen acceso los usuarios. Como administrador, puede ver los paquetes de acceso y las asignaciones de recursos para un usuario. Además, puede ver los registros de solicitudes para auditarlos o determinar el estado de la solicitud de un usuario. En este artículo se describe cómo usar los informes de administración de derechos y los registros de auditoría de Microsoft Entra.

Vea el siguiente vídeo para obtener información sobre cómo ver los recursos a los que tienen acceso los usuarios en la administración de derechos:

Visualización de usuarios asignados a un paquete de acceso

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Este informe le permite enumerar todos los usuarios que están asignados a un paquete de acceso.

Requisitos previos de rol: Administrador global o Administrador de Identity Governance

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Paquetes de acceso.

  3. En la página Paquetes de acceso, seleccione el paquete de acceso de interés.

  4. En el menú de la izquierda, seleccione Asignaciones y, a continuación, seleccione Descargar.

  5. Confirme el nombre del archivo y haga clic en Descargar.

Consulta de los paquetes de acceso de un usuario

Este informe le permite mostrar todos los paquetes de acceso que puede solicitar un usuario y los paquetes de acceso asignados actualmente al usuario.

Requisitos previos de rol: Administrador global o Administrador de Identity Governance

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Informes.

  3. Seleccione Paquetes de acceso de un usuario.

  4. Elija Seleccionar usuarios para abrir el panel de selección de usuarios.

  5. Busque el usuario en la lista y, luego, elija Seleccionar.

    En la pestaña Puede solicitar se muestra una lista de los paquetes de acceso que puede solicitar el usuario. Esta lista viene determinada por las directivas de solicitud definidas para los paquetes de acceso.

    Access packages for a user

  6. Si hay más de un rol o directiva de recursos para un paquete de acceso, seleccione la entrada de roles o directivas de recursos para ver los detalles de la selección.

  7. Seleccione la pestaña Asignado para ver una lista de los paquetes de acceso asignados actualmente al usuario. Si se asigna un paquete de acceso a un usuario, significa que el usuario tiene acceso a todos los roles de recurso del paquete de acceso.

Consulta de las asignaciones de recursos de un usuario

Este informe le permite mostrar los recursos asignados actualmente a un usuario en la administración de derechos. Este informe es para recursos administrados con la administración de derechos. El usuario podría tener acceso a otros recursos de su directorio fuera de la administración de derechos.

Requisitos previos de rol: Administrador global o Administrador de Identity Governance

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Informes.

  3. Seleccione Asignaciones de recursos de un usuario.

  4. Elija Seleccionar usuarios para abrir el panel de selección de usuarios.

  5. Busque el usuario en la lista y, luego, elija Seleccionar.

    Se muestra una lista de los recursos asignados actualmente al usuario. En la lista también se muestran el paquete de acceso y la directiva de la que se obtuvo el rol de recurso, junto con la fecha de inicio y finalización para el acceso.

    Si un usuario obtuvo acceso al mismo recurso en dos o más paquetes, puede seleccionar una flecha para ver cada paquete y directiva.

    Resource assignments for a user

Determinar el estado de la solicitud de un usuario

Para obtener más información sobre cómo un usuario ha solicitado y recibido acceso a un paquete de acceso, puede usar el registro de auditoría de Microsoft Entra. En concreto, puede usar las entradas de registro de las categorías EntitlementManagement y UserManagement para obtener detalles adicionales sobre los pasos de procesamiento de cada solicitud.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Registros de auditoría.

  3. En la parte superior, cambie el valor de Categoría a EntitlementManagement o UserManagement, según el registro de auditoría que esté buscando.

  4. Seleccione Aplicar.

  5. Para descargar los registros, seleccione Descargar.

Cuando Microsoft Entra ID recibe una solicitud nueva, escribe un registro de auditoría, donde el valor de Categoría es EntitlementManagement y el de Actividad suele ser User requests access package assignment. En el caso de una asignación directa creada en el centro de administración de Microsoft Entra, el campo Activity del registro de auditoría es Administrator directly assigns user to access package y el usuario que realiza la asignación se identifica mediante el valor ActorUserPrincipalName.

Microsoft Entra ID escribe registros de auditoría adicionales mientras la solicitud esté en curso, como:

Category Actividad Estado de la solicitud
EntitlementManagement Auto approve access package assignment request La solicitud no requiere aprobación
UserManagement Create request approval La solicitud requiere aprobación
UserManagement Add approver to request approval La solicitud requiere aprobación
EntitlementManagement Approve access package assignment request Solicitud aprobada
EntitlementManagement Ready to fulfill access package assignment request Solicitud aprobada o no requiere aprobación

Cuando se asigna el acceso a un usuario, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con el valor ActividadFulfill access package assignment. El usuario que recibe el acceso se identifica mediante el campo ActorUserPrincipalName.

Si no se ha asignado el acceso, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con Actividad establecido en Deny access package assignment request, si un aprobador ha denegado la solicitud, o en Access package assignment request timed out (no approver action taken), si la solicitud ha agotado el tiempo de espera antes de un aprobador pueda aprobarla.

Cuando la asignación de paquetes de acceso del usuario expira, la cancela el usuario o la quita un administrador, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con Actividad establecido en Remove access package assignment.

Descargue de la lista de organizaciones conectadas

Requisitos previos de rol:Administrador global o Administrador de Identity Governance

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya a Gobernanza de identidades>Administración de derechos>Organizaciones conectadas.

  3. En la página Organizaciones conectadas, seleccione Descargar.

Ver los eventos de un paquete de acceso

Si ha configurado para enviar eventos de registro de auditoría a Azure Monitor, puede usar los libros integrados y los libros personalizados para ver los registros de auditoría retenidos en Azure Monitor.

Para ver los eventos de un paquete de acceso, debe tener acceso al área de trabajo subyacente de Azure Monitor (consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor para obtener información) y en uno de los roles siguientes:

  • Administrador global
  • Administrador de seguridad
  • Lector de seguridad
  • Lector de informes
  • Administrador de aplicaciones

  1. En el centro de administración de Microsoft Entra, seleccione Identidad y, después, Libros en Supervisión y estado. Si solo tiene una suscripción, vaya al paso 3.

  2. Si tiene varias suscripciones, seleccione la suscripción que contenga el área de trabajo.

  3. Seleccione el libro llamado Actividad de acceso a paquetes.

  4. En ese libro, seleccione un intervalo de tiempo (cambie a Todo si no está seguro) y seleccione un identificador de paquete de acceso en la lista desplegable de todos los paquetes de acceso que tenían actividad durante ese intervalo de tiempo. Se mostrarán los eventos relacionados con el paquete de acceso que se produjeron durante el intervalo de tiempo seleccionado.

    View access package events

    Cada fila incluye la hora, el identificador de paquete de acceso, el nombre de la operación, el identificador de objeto, el UPN y el nombre para mostrar del usuario que inició la operación. Se incluyen detalles adicionales en JSON.

  5. Si quiere ver si ha habido cambios en las asignaciones de roles de aplicación para una aplicación cuya causa no fueron asignaciones de paquetes de acceso, como, por ejemplo, a través de un administrador global que asigna directamente un usuario a un rol de aplicación, puede seleccionar el libro denominado Actividad de asignación de roles de aplicación.

    View app role assignments

Pasos siguientes