Visualizzare report e log nella gestione entitlement

I report di gestione entitlement e il log di controllo di Microsoft Entra forniscono altri dettagli sulle risorse a cui gli utenti hanno accesso. Gli amministratori possono visualizzare i pacchetti di accesso e le assegnazioni di risorse per un utente e visualizzare i log delle richieste a scopo di controllo o determinare lo stato della richiesta di un utente. Questo articolo descrive come usare i report di gestione entitlement e i log di controllo di Microsoft Entra.

Guardare il video seguente per informazioni su come visualizzare le risorse a cui gli utenti hanno accesso nella gestione entitlement:

Visualizzare gli utenti assegnati a un pacchetto di accesso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Questo report consente di elencare tutti gli utenti assegnati a un pacchetto di accesso.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.

  3. Nella pagina Pacchetti di accesso selezionare il pacchetto di accesso di interesse.

  4. Nel menu a sinistra selezionare Assegnazioni, quindi selezionare Scarica.

  5. Confermare il nome del file e quindi selezionare Scarica.

Visualizzare pacchetti di accesso per un utente

Questo report consente di elencare tutti i pacchetti di accesso che un utente può richiedere e i pacchetti di accesso attualmente assegnati all'utente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Report di gestione> entitlement per la governance>delle identità.

  3. Selezionare Pacchetti di accesso per un utente.

  4. Selezionare Seleziona utenti per aprire il riquadro Seleziona utenti .

  5. Trovare l'utente nell'elenco e quindi selezionare Seleziona.

    Nella scheda Richiesta di accesso viene visualizzato un elenco dei pacchetti di accesso che l'utente può richiedere. Questo elenco è determinato dai criteri di richiesta definiti per i pacchetti di accesso.

    Pacchetti di accesso per un utente

  6. Se sono presenti più ruoli o criteri delle risorse per un pacchetto di accesso, selezionare i ruoli delle risorse o la voce dei criteri per visualizzare i dettagli della selezione.

  7. Selezionare la scheda Assegnato per visualizzare un elenco dei pacchetti di accesso attualmente assegnati all'utente. Quando un pacchetto di accesso viene assegnato a un utente, significa che l'utente ha accesso a tutti i ruoli delle risorse nel pacchetto di accesso.

Visualizzare le assegnazioni di risorse per un utente

Questo report consente di elencare le risorse attualmente assegnate a un utente nella gestione entitlement. Questo report riguarda le risorse gestite con la gestione entitlement. L'utente potrebbe avere accesso ad altre risorse nella directory al di fuori della gestione entitlement.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Report di gestione> entitlement per la governance>delle identità.

  3. Selezionare Assegnazioni di risorse per un utente.

  4. Selezionare Seleziona utenti per aprire il riquadro Seleziona utenti .

  5. Trovare l'utente nell'elenco e quindi selezionare Seleziona.

    Viene visualizzato un elenco delle risorse attualmente assegnate all'utente. L'elenco mostra anche il pacchetto di accesso e i criteri da cui hanno ottenuto il ruolo della risorsa, insieme alla data di inizio e di fine per l'accesso.

    Se un utente ha accesso alla stessa risorsa in due o più pacchetti, è possibile selezionare una freccia per visualizzare ogni pacchetto e criterio.

    Assegnazioni di risorse per un utente

Determinare lo stato della richiesta di un utente

Per ottenere dettagli aggiuntivi sul modo in cui un utente ha richiesto e ricevuto l'accesso a un pacchetto di accesso, è possibile usare il log di controllo di Microsoft Entra. In particolare, è possibile usare i record di log nelle EntitlementManagement categorie e UserManagement per ottenere altri dettagli sui passaggi di elaborazione per ogni richiesta.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identity Governance Entitlement management Audit logs (Log di controllo di gestione>entitlement per la governance>delle identità).

  3. Nella parte superiore modificare Categoria in EntitlementManagement o UserManagement, a seconda del record di controllo che si sta cercando.

  4. Selezionare Applica.

  5. Per scaricare i log, selezionare Scarica.

Quando Microsoft Entra ID riceve una nuova richiesta, scrive un record di controllo, in cui la categoria è EntitlementManagement e l'attività è in User requests access package assignmentgenere . Se un'assegnazione diretta creata nell'interfaccia di amministrazione di Microsoft Entra, il campo Attività del record di controllo è Administrator directly assigns user to access packagee l'utente che esegue l'assegnazione viene identificato da ActorUserPrincipalName.

Microsoft Entra ID scrive record di controllo aggiuntivi mentre la richiesta è in corso, tra cui:

Categoria Attività Stato richiesta
EntitlementManagement Auto approve access package assignment request La richiesta non richiede l'approvazione
UserManagement Create request approval La richiesta richiede l'approvazione
UserManagement Add approver to request approval La richiesta richiede l'approvazione
EntitlementManagement Approve access package assignment request Richiesta approvata
EntitlementManagement Ready to fulfill access package assignment request Richiedere l'approvazione o non richiede l'approvazione

Quando a un utente viene assegnato l'accesso, Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con Activity Fulfill access package assignment. L'utente che ha ricevuto l'accesso viene identificato dal campo ActorUserPrincipalName .

Se l'accesso non è stato assegnato, Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con AttivitàDeny access package assignment request, se la richiesta è stata negata da un responsabile approvazione o Access package assignment request timed out (no approver action taken), se la richiesta è scaduta prima che un responsabile approvazione possa approvare.

Quando l'assegnazione del pacchetto di accesso dell'utente scade, viene annullata dall'utente o rimossa da un amministratore, quindi Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con Attività di Remove access package assignment.

Scaricare l'elenco delle organizzazioni connesse

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Gestione entitlement per>la governance>delle identità Organizzazioni connesse.

  3. Nella pagina Organizzazioni connesse selezionare Scarica.

Visualizzare gli eventi per un pacchetto di accesso

Se è stato configurato per inviare eventi del log di controllo a Monitoraggio di Azure, è possibile usare le cartelle di lavoro predefinite e le cartelle di lavoro personalizzate per visualizzare i log di controllo conservati in Monitoraggio di Azure.

Per visualizzare gli eventi per un pacchetto di accesso, è necessario disporre dell'accesso all'area di lavoro Monitoraggio di Azure sottostante (vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure per informazioni) e in uno dei ruoli seguenti:

  • Amministratore globale
  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Amministratore che legge i report
  • Amministratore applicazione
  1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Identità , quindi selezionare Cartelle di lavoro in Monitoraggio e integrità. Se è disponibile solo una sottoscrizione, passare al passaggio 3.

  2. Se sono disponibili più sottoscrizioni, selezionare la sottoscrizione che contiene l'area di lavoro.

  3. Selezionare la cartella di lavoro denominata Attività del pacchetto di accesso.

  4. Nella cartella di lavoro, selezionare un intervallo di tempo (modificare in Tutti se non si è sicuri) e selezionare un ID del pacchetto di accesso nell'elenco a discesa di tutti i pacchetti di accesso con attività durante tale intervallo di tempo. Verranno visualizzati gli eventi correlati al pacchetto di accesso che si sono verificati durante l'intervallo di tempo selezionato.

    Visualizzare gli eventi del pacchetto di accesso

    Ogni riga include l'ora, l'ID del pacchetto di accesso, il nome dell'operazione, l'ID dell'oggetto, il nome dell'entità utente e il nome visualizzato dell'utente che ha avviato l'operazione. Altri dettagli sono inclusi in JSON.

  5. Per verificare se sono state apportate modifiche alle assegnazioni di ruolo dell'applicazione per un'applicazione non riconducibili alle assegnazioni dei pacchetti di accesso, ad esempio da un Amministratore globale che assegna direttamente un utente a un ruolo dell’applicazione, è possibile selezionare la cartella di lavoro denominata Attività di assegnazione dei ruoli dell'applicazione.

    Visualizzare le assegnazioni di ruolo delle app

Passaggi successivi