Share via

Просмотр отчетов и журналов в управлении правами

  • Статья

Отчеты об управлении правами и журнал аудита Microsoft Entra предоставляют дополнительные сведения о том, к каким ресурсам у пользователей есть доступ. Администратор может просматривать пакеты доступа и назначения ресурсов для пользователя и просматривать журналы запросов для целей аудита или определять состояние запроса пользователя. В этой статье описывается, как использовать отчеты об управлении правами и журналы аудита Microsoft Entra.

Просмотрите следующее видео, чтобы узнать, как просмотреть ресурсы, к которым у пользователей есть доступ в управлении правами:

Просмотр пользователей, назначенных пакету доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Этот отчет позволяет перечислить всех пользователей, которым назначен пакет доступа.

Роль необходимых компонентов: глобальный Администратор istrator или управление удостоверениями Администратор istrator

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. На странице пакетов Access выберите интересующий пакет доступа.

  4. В меню слева выберите "Назначения", а затем нажмите кнопку "Скачать".

  5. Подтвердите имя файла и нажмите кнопку " Скачать".

Просмотр пакетов для доступа для пользователя

Этот отчет позволяет получить список всех пакетов для доступа, которые может запросить пользователь, а также пакетов для доступа, которые в настоящее время назначены пользователю.

Роль необходимых компонентов: глобальный Администратор istrator или управление удостоверениями Администратор istrator

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к отчетам по управлению правами управления>удостоверениями>.

  3. Выберите пакеты Access для пользователя.

  4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

  5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

    На вкладке Can request (Можно запрашивать) отображается список пакетов для доступа, которые может запрашивать пользователь. Этот список определяется политиками запросов, определенными для пакетов для доступа.

    Access packages for a user

  6. Если для пакета доступа существует несколько ролей ресурсов или политик, выберите роли ресурсов или запись политик, чтобы просмотреть сведения о выборе.

  7. Выберите вкладку "Назначено", чтобы просмотреть список пакетов доступа, назначенных пользователю. Назначение пользователю пакета для доступа значит, что пользователю предоставляется доступ ко всем ролям ресурсов в пакете для доступа.

Просмотр назначений ресурсов для пользователя

Этот отчет позволяет получить список ресурсов, которые в настоящее время назначены пользователю в управлении правами. Этот отчет предназначен для ресурсов, управляемых с помощью управления правами. Пользователь может получить доступ к другим ресурсам в вашем каталоге за пределами управления правами.

Необходимая роль: глобальный администратор или управление удостоверениями Администратор istrator

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к отчетам по управлению правами управления>удостоверениями>.

  3. Выберите назначения ресурсов для пользователя.

  4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

  5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

    Отобразится список ресурсов, назначенных пользователю в данный момент. Кроме того, в списке будут показаны пакет для доступа и политика, из которых получена роль ресурсов, а также даты начала и окончания предоставления доступа.

    Если пользователь получил доступ к одному ресурсу в двух или более пакетах, можно выбрать стрелку, чтобы просмотреть каждый пакет и политику.

    Resource assignments for a user

Определение состояния запроса пользователя

Чтобы получить дополнительные сведения о том, как пользователь запрашивал и получил доступ к пакету доступа, можно использовать журнал аудита Microsoft Entra. В частности, для получения дополнительных сведений о шагах обработки для каждого запроса можно использовать записи журнала в категориях EntitlementManagement и UserManagement.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к журналам аудита управления>правами управления правами управления>удостоверениями.

  3. В верхней части измените значение параметра Категория на EntitlementManagement или UserManagement, в зависимости от записи аудита, которую вы ищете.

  4. Нажмите Применить.

  5. Чтобы скачать журналы, нажмите кнопку "Скачать".

Когда идентификатор Microsoft Entra получает новый запрос, он записывает запись аудита, в которой категория и EntitlementManagementдействие обычно User requests access package assignment. В случае прямого назначения, созданного в Центре администрирования Microsoft Entra, поле действия записи аудита имеет значениеAdministrator directly assigns user to access package, и пользователь, выполняющий задание, определяется субъектомUserPrincipalName.

Идентификатор Microsoft Entra записывает дополнительные записи аудита во время выполнения запроса, в том числе:

Категория Действие (Activity) Статус запроса
EntitlementManagement Auto approve access package assignment request Запрос не требует утверждения
UserManagement Create request approval Запрос требует утверждения
UserManagement Add approver to request approval Запрос требует утверждения
EntitlementManagement Approve access package assignment request Запрос утвержден
EntitlementManagement Ready to fulfill access package assignment request Запрос утвержден или не требует утверждения

Когда пользователю назначен доступ, идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действиемFulfill access package assignment. Пользователь, получивший доступ, идентифицируется по полю ActorUserPrincipalName.

Если доступ не был назначен, идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действием Deny access package assignment request либо, если запрос был отклонен утверждающий, либо Access package assignment request timed out (no approver action taken), если запрос истек до утверждения утверждающего.

Когда срок действия назначения пакета доступа пользователя истекает, отменяется пользователем или удаляется администратором, то идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действиемRemove access package assignment.

Скачивание списка подключенных организаций

Роль необходимых компонентов: глобальный Администратор istrator или Администратор istrator

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к управлению правами управления правами управления>удостоверениями> Подключение организаций.

  3. На странице Подключение организаций выберите "Скачать".

Просмотр событий для пакета доступа

Если вы настроили отправку событий журнала аудита в Azure Monitor, можно использовать встроенные книги и пользовательские книги для просмотра журналов аудита, сохраненных в Azure Monitor.

Чтобы просмотреть события для пакета доступа, необходимо иметь доступ к базовой рабочей области Azure Monitor (Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor) и в одной из следующих ролей:

  • Глобальный администратор.
  • администратор безопасности;
  • Читатель сведений о безопасности
  • Читатель отчетов
  • Администратор приложений

  1. В Центре администрирования Microsoft Entra выберите "Удостоверение ", а затем выберите книги в разделе "Мониторинг и работоспособности". Если у вас только одна подписка, переходите к 3 шагу:

  2. Если у вас несколько подписок, выберите ту, в которой есть рабочая область.

  3. Выберите книгу, которая называется Действие пакета для доступа.

  4. В этой книге выберите диапазон времени (измените значение на Все, если не уверены), и выберите идентификатор пакета доступа из раскрывающегося списка всех пакетов доступа, в которых была активность в течении этого интервала времени. Отобразятся события, связанные с пакетом доступа, который появлялся в течении выбранного интервала времени.

    View access package events

    Каждая строка включает время, доступ к идентификатору пакета, имя операции, идентификатор объекта, имя субъекта-пользователя и отображаемое имя пользователя, запустившего операцию. Дополнительные сведения содержатся в нотации объектов JavaScript

  5. Если вы хотите узнать, были ли изменения назначений ролей приложения для приложения, которые не были вызваны доступом к назначениям пакетов, таким как глобальный администратор напрямую назначает пользователя роли приложения, то можно выбрать книгу с именем назначения роли приложения.

    View app role assignments

Следующие шаги