Afficher les rapports et les journaux dans la gestion des droits d’utilisation

Les rapports de gestion des droits d’utilisation et le journal d’audit de Microsoft Entra fournissent des détails supplémentaires sur les ressources auxquelles les utilisateurs ont accès. En tant qu’administrateur, vous pouvez afficher les packages d’accès et les affectations de ressources pour un utilisateur et afficher les journaux des requêtes à des fins d’audit ou pour déterminer l’état de la demande d’un utilisateur. Cet article explique comment utiliser les rapports de gestion des droits d’utilisation et les journaux d’audit de Microsoft Entra.

Regardez la vidéo suivante pour savoir comment afficher les ressources auxquelles les utilisateurs ont accès dans la gestion des droits d’utilisation :

Afficher des utilisateurs affectés à un package d’accès

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Ce rapport vous permet de répertorier tous les utilisateurs affectés à un package d’accès.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Packages d’accès.

  3. Dans la page Packages d’accès, sélectionnez le package d’accès qui vous intéresse.

  4. Dans le menu de gauche, sélectionnez Affectations, puis Télécharger.

  5. Confirmez le nom du fichier, puis sélectionnez Télécharger.

Afficher les packages d’accès d’un utilisateur

Ce rapport vous permet de répertorier tous les packages d’accès qu’un utilisateur peut demander et les packages d’accès qui sont actuellement affectés à l’utilisateur.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Rapports.

  3. Sélectionnez Packages d’accès d’un utilisateur.

  4. Sélectionnez Sélectionner des utilisateurs pour ouvrir le volet Sélectionner des utilisateurs.

  5. Recherchez l’utilisateur dans la liste, puis sélectionnez Sélectionner.

    L’onglet Peut demander affiche la liste des packages d’accès que l’utilisateur peut demander. Cette liste est déterminée par les stratégies de demande définies pour les packages d’accès.

    Packages d’accès d’un utilisateur

  6. S’il existe plusieurs stratégies ou rôles de ressource pour un package d’accès, sélectionnez l’entrée de stratégies ou rôles de ressource pour afficher les détails de la sélection.

  7. Sélectionnez l’onglet Affecté pour afficher la liste des packages d’accès actuellement affectés à l’utilisateur. Lorsqu’un package d’accès est attribué à un utilisateur, cela signifie que l’utilisateur a accès à tous les rôles de ressource dans le package d’accès.

Afficher les attributions de ressources pour un utilisateur

Ce rapport vous permet de répertorier les ressources actuellement attribuées à un utilisateur dans la gestion des droits d’utilisation. Ce rapport est destiné aux ressources gérées avec la gestion des droits d’utilisation. L’utilisateur peut avoir accès à d’autres ressources dans votre répertoire en dehors de la gestion des droits d’utilisation.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Rapports.

  3. Sélectionnez Attributions de ressources pour un utilisateur.

  4. Sélectionnez Sélectionner des utilisateurs pour ouvrir le volet Sélectionner des utilisateurs.

  5. Recherchez l’utilisateur dans la liste, puis sélectionnez Sélectionner.

    La liste des ressources actuellement affectées à l’utilisateur s’affiche. La liste affiche également le package d’accès et la stratégie à partir desquels ils ont le rôle de ressource, ainsi que la date de début et de fin pour l’accès.

    Si un utilisateur a obtenu l’accès à la même ressource dans plusieurs packages, vous pouvez sélectionner une flèche pour afficher chaque package et chaque stratégie.

    Attributions de ressources pour un utilisateur

Déterminer l’état de la demande d’un utilisateur

Pour obtenir des détails supplémentaires sur la façon dont un utilisateur a demandé et reçu l’accès à un package d’accès, vous pouvez utiliser le journal d’audit Microsoft Entra. En particulier, vous pouvez utiliser des enregistrements de journal dans les catégories EntitlementManagement et UserManagement pour obtenir plus de détails sur les étapes de traitement pour chaque requête.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Journaux d’audit.

  3. En haut, remplacez la Catégorie par EntitlementManagement ou UserManagement, en fonction de l’enregistrement d’audit que vous recherchez.

  4. Sélectionnez Appliquer.

  5. Pour télécharger les journaux, sélectionnez Télécharger.

Lorsque Microsoft Entra reçoit une nouvelle demande, il écrit un enregistrement d’audit, dont la catégorie est EntitlementManagement et l’activité est généralement User requests access package assignment. Si une affectation directe est créée dans le centre d’administration Microsoft Entra, le champ Activité de l’enregistrement d’audit est Administrator directly assigns user to access package, et l’utilisateur effectuant l’affectation est identifié par ActorUserPrincipalName.

Microsoft Entra ID écrit des enregistrements d’audit supplémentaires quand la requête est en cours, y compris:

Catégorie Activité État de la demande
EntitlementManagement Auto approve access package assignment request La demande ne nécessite pas d’approbation
UserManagement Create request approval La demande nécessite une approbation
UserManagement Add approver to request approval La demande nécessite une approbation
EntitlementManagement Approve access package assignment request Demande approuvée
EntitlementManagement Ready to fulfill access package assignment request Demande approuvée, ou ne nécessite pas d’approbation

Lorsqu’un utilisateur se voit affecter l’accès, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activité Fulfill access package assignment. L’utilisateur qui a reçu l’accès est identifié par le champ ActorUserPrincipalName.

Si l’accès n’a pas été affecté, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activitéDeny access package assignment request, si la demande a été refusée par un approbateur, ou Access package assignment request timed out (no approver action taken), si la demande a expiré avant l’approbation.

Lorsque l’attribution du package d’accès d’un utilisateur expire, est annulé par l’utilisateur, ou supprimé par un administrateur, Microsoft Entra ID écrit un enregistrement d’audit pour la catégorie EntitlementManagement avec l’activité de Remove access package assignment.

Télécharger une liste des organisations connectées

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

  2. Accédez à Gouvernance des identités>Gestion des droits d’utilisation>Organisations connectées.

  3. Dans la page Organisations connectées, sélectionnez Télécharger.

Visualiser les événements pour un package d’accès

Si vous avez effectué une configuration pour envoyer des événements de journal d’audit à Azure Monitor, vous pouvez utiliser les classeurs intégrés et les classeurs personnalisés pour afficher les journaux d’audit conservés dans Azure Monitor.

Pour voir les événements d’un package d’accès, vous devez avoir accès à l’espace de travail Azure Monitor sous-jacent (pour plus d’informations, consultez Gérer l’accès aux données du journal et les espaces de travail dans Azure Monitor) et dans un des rôles suivants :

  • Administrateur général
  • Security Administrator
  • Lecteur de sécurité
  • Lecteur de rapports
  • Administrateur d’application
  1. Dans le Centre d’administration Microsoft Entra, sélectionnez Identité, puis Classeurs sous Surveillance et intégrité. Si vous n’avez qu’un seul abonnement, passez à l’étape 3.

  2. Si vous avez plusieurs abonnements, sélectionnez l’abonnement qui contient l’espace de travail.

  3. Sélectionnez le classeur nommé Activité du package d’accès.

  4. Dans ce classeur, sélectionnez une plage de temps (changez-la en Tout si vous n’êtes pas sûr), puis sélectionnez un ID de package d’accès dans la liste déroulante de tous les packages d’accès ayant eu une activité pendant cette période. Les événements liés au package d’accès qui se sont produits pendant l’intervalle de temps sélectionné s’affichent.

    Visualiser les événements du package d’accès

    Chaque ligne comprend l’heure, l’ID de package d’accès, le nom de l’opération, l’ID d’objet, l’UPN et le nom complet de l’utilisateur qui a démarré l’opération. Plus de détails sont inclus dans le JSON.

  5. Pour voir si des modifications ont été apportées aux attributions de rôle d’application non destinées aux attributions de package d’accès (par un administrateur général attribuant directement un rôle d’application à un utilisateur, par exemple), vous pouvez sélectionner le classeur nommé Activité d’attribution de rôle d’application.

    Afficher les attributions de rôle d’application

Étapes suivantes