Просмотр отчетов и журналов в управлении правами доступа

Отчеты по управлению правами и журнал аудита Microsoft Entra содержат дополнительные сведения о том, к каким ресурсам у пользователей есть доступ. Администратор может просматривать пакеты доступа и назначения ресурсов для пользователя и просматривать журналы запросов для целей аудита или определять состояние запроса пользователя. В этой статье описывается, как использовать отчеты об управлении правами и журналы аудита Microsoft Entra.

В этой статье описывается, как просматривать отчеты о текущих объектах в управлении правами. Сведения о сохранении и отчете об исторических объектах Microsoft Entra, таких как пользователи или назначения ролей приложений, см. в статье Настраиваемые отчеты в Azure Data Explorer (ADX) с помощью данных из идентификатора Microsoft Entra ID.

Просмотрите следующее видео, чтобы узнать, как просмотреть ресурсы, к которым у пользователей есть доступ в управлении правами:

Этот отчет позволяет перечислить всех пользователей, которым назначен пакет доступа.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор Управления Удостоверениями.

2. Перейдите к разделам Управление удостоверениями>Управление правами>Пакеты доступа.

3. На странице пакетов Access выберите интересующий пакет доступа.

4. В меню слева выберите "Назначения", а затем нажмите кнопку "Скачать".

5. Подтвердите имя файла и нажмите кнопку "Скачать".

Этот отчет позволяет получить список всех пакетов для доступа, которые может запросить пользователь, а также пакетов для доступа, которые в настоящее время назначены пользователю.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к Управлению идентификацией>Управлению правами>Отчетам.

3. Выберите пакеты Access для пользователя.

4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

   На вкладке Can request (Можно запрашивать) отображается список пакетов для доступа, которые может запрашивать пользователь. Этот список определяется политиками запросов, определенными для пакетов для доступа.

   

6. Если для пакета доступа имеется более одной роли ресурса или политики, выберите запись с ролями ресурсов или политиками, чтобы просмотреть сведения о выборе.

7. Выберите вкладку "Назначено", чтобы просмотреть список пакетов доступа, назначенных пользователю. Назначение пользователю пакета для доступа значит, что пользователю предоставляется доступ ко всем ролям ресурсов в пакете для доступа.

Этот отчет позволяет получить список ресурсов, которые в настоящее время назначены пользователю в управлении правами. Этот отчет предназначен для ресурсов, управляемых с помощью управления правами. Пользователь может получить доступ к другим ресурсам в вашем каталоге за пределами управления правами.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

2. Перейдите в раздел Управление идентификацией>, затем перейдите к Управлению правами>, а затем к Отчеты.

3. Выберите назначения ресурсов для пользователя.

4. Выберите "Выбрать пользователей", чтобы открыть панель "Выбор пользователей ".

5. Найдите пользователя в списке и нажмите кнопку " Выбрать".

   Отобразится список ресурсов, назначенных пользователю в данный момент. Кроме того, в списке будут показаны пакет доступа и политика, которые были использованы для получения роли ресурсов, а также даты начала и завершения доступа.

   Если пользователь получил доступ к одному ресурсу в двух или более пакетах, можно выбрать стрелку, чтобы просмотреть каждый пакет и политику.

   

Чтобы получить дополнительные сведения о том, как пользователь запрашивал и получил доступ к пакету доступа, можно использовать журнал аудита Microsoft Entra. В частности, вы можете использовать записи журнала в категориях EntitlementManagement и UserManagement, чтобы получить дополнительные сведения о шагах обработки для каждого запроса.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

2. Перейдите к Управление идентификацией>Управление правами доступа>Журналы аудита.

3. В верхней части измените значение параметра Категория на EntitlementManagement или UserManagement, в зависимости от записи аудита, которую вы ищете.

4. Выберите Применить.

5. Чтобы скачать журналы, нажмите кнопку "Скачать".

Когда идентификатор Microsoft Entra получает новый запрос, он записывает запись аудита, в которой категория является EntitlementManagement, а действие обычно является User requests access package assignment. Если прямое назначение создается в Центре администрирования Microsoft Entra, поле Activity в записи аудита будет Administrator directly assigns user to access package, а пользователь, выполняющий назначение, идентифицируется по ActorUserPrincipalName.

Идентификатор Microsoft Entra записывает дополнительные записи аудита во время выполнения запроса, в том числе:

Когда пользователю назначен доступ, Microsoft Entra ID создает запись аудита для EntitlementManagement категории с действиемFulfill access package assignment. Пользователь, получивший доступ, идентифицируется по полю ActorUserPrincipalName.

Если доступ не был назначен, то Microsoft Entra ID записывает запись аудита для EntitlementManagement категории с Activity: Deny access package assignment request, если запрос был отклонен утверждающим, или Access package assignment request timed out (no approver action taken), если запрос истек до того, как утверждающий смог его утвердить.

Когда срок действия назначения пакета доступа пользователя истекает, отменяется пользователем или удаляется администратором, то идентификатор Microsoft Entra записывает запись аудита для EntitlementManagement категории с действиемRemove access package assignment.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

2. Перейдите к управлению идентичностью, управлению правами, подключенным организациям.

3. На странице "Подключенные организации" нажмите кнопку "Скачать".

С разделением параметров обязанностей в пакете доступа можно настроить, что пользователь, который является членом группы безопасности или у которого уже есть назначение одному пакету доступа, не может запрашивать другой пакет доступа, помечая их как несовместимые. Затем можно просматривать пакеты доступа, настроенные как несовместимые, и перечислить пользователей, которые будут иметь несовместимый доступ к другому пакету доступа. Вы также можете перечислить пользователей, которым уже предоставлен несовместимый доступ к другому пакету доступа в Центре администрирования Microsoft Entra, с помощью Microsoft Graph или с помощью PowerShell.

Если вы настроили отправку событий журнала аудита в Azure Monitor, то вы можете использовать встроенные рабочие книги и пользовательские рабочие книги для просмотра журналов аудита, сохраненных в Azure Monitor.

Чтобы просмотреть события для пакета доступа, необходимо иметь доступ к базовой рабочей области Azure Monitor (Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor) и в одной из следующих ролей:

• Глобальный администратор
• Администратор безопасности
• Просмотрщик безопасности
• Программа для чтения отчетов
• Администратор приложений

1. В Центре администрирования Microsoft Entra выберите Идентификация, а затем выберите рабочие книги в разделе Мониторинг и работоспособность. Если у вас только одна подписка, переходите к 3 шагу:

2. Если у вас несколько подписок, выберите ту, в которой есть рабочая область.

3. Выберите книгу, которая называется Активность пакета доступа.

4. В этой рабочей книге выберите временной диапазон (переключитесь на Все, если не уверены в выборе) и выберите идентификатор пакета доступа из раскрывающегося списка всех пакетов доступа, в которых была активность в течение этого временного интервала. Отобразятся события, связанные с пакетом доступа, который появлялся в течении выбранного интервала времени.

   

   Каждая строка включает время, идентификатор пакета доступа, имя операции, идентификатор объекта, UPN и отображаемое имя пользователя, запустившего операцию. Дополнительные сведения включены в JSON.

Если вы настроили отправку событий журнала аудита в Azure Monitor, вы можете использовать встроенные и настраиваемые рабочие книги для просмотра журналов аудита, сохраненных в Azure Monitor.

Книга о действии назначения ролей приложения показывает, были ли изменения в назначении ролей приложения, которые не были вызваны назначениями пакетов доступа, например, когда глобальный администратор напрямую назначает пользователя на роль в приложении.

1. В центре администрирования Microsoft Entra выберите Удостоверение, а затем выберите Рабочие книги в разделе Мониторинг и работоспособность. Если у вас только одна подписка, переходите к 3 шагу:

2. Если у вас несколько подписок, выберите ту подписку, которая содержит рабочую область.

3. Выберите рабочую книгу под названием назначение ролей для приложения.

   

4. Если вы выбрали опущение действий по управлению правами, отображаются только изменения ролей приложений, которые не были сделаны управлением правами. Например, вы увидите строку, если глобальный администратор напрямую назначил пользователю роль приложения.

• Архивация отчетов и журналов
• Устранение неполадок управления полномочиями
• Создание настраиваемых оповещений для управления правами
• Настраиваемые отчеты в Azure Data Explorer (ADX) с использованием данных из Microsoft Entra ID