Visualizzare report e log nella gestione entitlement
Articolo
I report di gestione entitlement e il log di controllo di Microsoft Entra forniscono altri dettagli sulle risorse a cui gli utenti hanno accesso. Gli amministratori possono visualizzare i pacchetti di accesso e le assegnazioni di risorse per un utente e visualizzare i log delle richieste a scopo di controllo o determinare lo stato della richiesta di un utente. Questo articolo descrive come usare i report di gestione entitlement e i log di controllo di Microsoft Entra.
Guardare il video seguente per informazioni su come visualizzare le risorse a cui gli utenti hanno accesso nella gestione entitlement:
Visualizzare gli utenti assegnati a un pacchetto di accesso
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Questo report consente di elencare tutti gli utenti assegnati a un pacchetto di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.
Nella pagina Pacchetti di accesso selezionare il pacchetto di accesso di interesse.
Nel menu a sinistra selezionare Assegnazioni, quindi selezionare Scarica.
Confermare il nome del file e quindi selezionare Scarica.
Visualizzare pacchetti di accesso per un utente
Questo report consente di elencare tutti i pacchetti di accesso che un utente può richiedere e i pacchetti di accesso attualmente assegnati all'utente.
Passare a Report di gestione> entitlement per la governance>delle identità.
Selezionare Pacchetti di accesso per un utente.
Selezionare Seleziona utenti per aprire il riquadro Seleziona utenti .
Trovare l'utente nell'elenco e quindi selezionare Seleziona.
Nella scheda Richiesta di accesso viene visualizzato un elenco dei pacchetti di accesso che l'utente può richiedere. Questo elenco è determinato dai criteri di richiesta definiti per i pacchetti di accesso.
Se sono presenti più ruoli o criteri delle risorse per un pacchetto di accesso, selezionare i ruoli delle risorse o la voce dei criteri per visualizzare i dettagli della selezione.
Selezionare la scheda Assegnato per visualizzare un elenco dei pacchetti di accesso attualmente assegnati all'utente. Quando un pacchetto di accesso viene assegnato a un utente, significa che l'utente ha accesso a tutti i ruoli delle risorse nel pacchetto di accesso.
Visualizzare le assegnazioni di risorse per un utente
Questo report consente di elencare le risorse attualmente assegnate a un utente nella gestione entitlement. Questo report riguarda le risorse gestite con la gestione entitlement. L'utente potrebbe avere accesso ad altre risorse nella directory al di fuori della gestione entitlement.
Passare a Report di gestione> entitlement per la governance>delle identità.
Selezionare Assegnazioni di risorse per un utente.
Selezionare Seleziona utenti per aprire il riquadro Seleziona utenti .
Trovare l'utente nell'elenco e quindi selezionare Seleziona.
Viene visualizzato un elenco delle risorse attualmente assegnate all'utente. L'elenco mostra anche il pacchetto di accesso e i criteri da cui hanno ottenuto il ruolo della risorsa, insieme alla data di inizio e di fine per l'accesso.
Se un utente ha accesso alla stessa risorsa in due o più pacchetti, è possibile selezionare una freccia per visualizzare ogni pacchetto e criterio.
Determinare lo stato della richiesta di un utente
Per ottenere dettagli aggiuntivi sul modo in cui un utente ha richiesto e ricevuto l'accesso a un pacchetto di accesso, è possibile usare il log di controllo di Microsoft Entra. In particolare, è possibile usare i record di log nelle EntitlementManagement categorie e UserManagement per ottenere altri dettagli sui passaggi di elaborazione per ogni richiesta.
Passare a Identity Governance Entitlement management Audit logs (Log di controllo di gestione>entitlement per la governance>delle identità).
Nella parte superiore modificare Categoria in EntitlementManagement o UserManagement, a seconda del record di controllo che si sta cercando.
Selezionare Applica.
Per scaricare i log, selezionare Scarica.
Quando Microsoft Entra ID riceve una nuova richiesta, scrive un record di controllo, in cui la categoria è EntitlementManagement e l'attivitàè in User requests access package assignmentgenere . Se un'assegnazione diretta creata nell'interfaccia di amministrazione di Microsoft Entra, il campo Attività del record di controllo è Administrator directly assigns user to access packagee l'utente che esegue l'assegnazione viene identificato da ActorUserPrincipalName.
Microsoft Entra ID scrive record di controllo aggiuntivi mentre la richiesta è in corso, tra cui:
Categoria
Attività
Stato richiesta
EntitlementManagement
Auto approve access package assignment request
La richiesta non richiede l'approvazione
UserManagement
Create request approval
La richiesta richiede l'approvazione
UserManagement
Add approver to request approval
La richiesta richiede l'approvazione
EntitlementManagement
Approve access package assignment request
Richiesta approvata
EntitlementManagement
Ready to fulfill access package assignment request
Richiedere l'approvazione o non richiede l'approvazione
Quando a un utente viene assegnato l'accesso, Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con ActivityFulfill access package assignment. L'utente che ha ricevuto l'accesso viene identificato dal campo ActorUserPrincipalName .
Se l'accesso non è stato assegnato, Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con AttivitàDeny access package assignment request, se la richiesta è stata negata da un responsabile approvazione o Access package assignment request timed out (no approver action taken), se la richiesta è scaduta prima che un responsabile approvazione possa approvare.
Quando l'assegnazione del pacchetto di accesso dell'utente scade, viene annullata dall'utente o rimossa da un amministratore, quindi Microsoft Entra ID scrive un record di controllo per la EntitlementManagement categoria con Attività di Remove access package assignment.
Passare a Gestione entitlement per>la governance>delle identità Organizzazioni connesse.
Nella pagina Organizzazioni connesse selezionare Scarica.
Visualizzare gli eventi per un pacchetto di accesso
Se è stato configurato per inviare eventi del log di controllo a Monitoraggio di Azure, è possibile usare le cartelle di lavoro predefinite e le cartelle di lavoro personalizzate per visualizzare i log di controllo conservati in Monitoraggio di Azure.
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore che legge i report
Amministratore applicazione
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Identità , quindi selezionare Cartelle di lavoro in Monitoraggio e integrità. Se è disponibile solo una sottoscrizione, passare al passaggio 3.
Se sono disponibili più sottoscrizioni, selezionare la sottoscrizione che contiene l'area di lavoro.
Selezionare la cartella di lavoro denominata Attività del pacchetto di accesso.
Nella cartella di lavoro, selezionare un intervallo di tempo (modificare in Tutti se non si è sicuri) e selezionare un ID del pacchetto di accesso nell'elenco a discesa di tutti i pacchetti di accesso con attività durante tale intervallo di tempo. Verranno visualizzati gli eventi correlati al pacchetto di accesso che si sono verificati durante l'intervallo di tempo selezionato.
Ogni riga include l'ora, l'ID del pacchetto di accesso, il nome dell'operazione, l'ID dell'oggetto, il nome dell'entità utente e il nome visualizzato dell'utente che ha avviato l'operazione. Altri dettagli sono inclusi in JSON.
Per verificare se sono state apportate modifiche alle assegnazioni di ruolo dell'applicazione per un'applicazione non riconducibili alle assegnazioni dei pacchetti di accesso, ad esempio da un Amministratore globale che assegna direttamente un utente a un ruolo dell’applicazione, è possibile selezionare la cartella di lavoro denominata Attività di assegnazione dei ruoli dell'applicazione.
I log di controllo e diagnostica di Microsoft Entra ID offrono una panoramica dettagliata sul modo in cui gli utenti accedono alla soluzione Azure. Informazioni su come monitorare, analizzare e risolvere i problemi relativi ai dati di accesso.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.