エンタイトルメント管理でレポートとログを表示する

  • [アーティクル]

エンタイトルメント管理レポートと Microsoft Entra 監査ログは、ユーザーがアクセス権を持っているリソースに関する追加の詳細情報を提供します。 管理者は、ユーザーのアクセス パッケージやリソースの割り当てを表示できるほか、監査目的で要求ログを表示したり、ユーザーの要求の状態を確認したりできます。 この記事では、エンタイトルメント管理レポートや Microsoft Entra 監査ログを使用する方法について説明します。

次のビデオを視聴して、エンタイトルメント管理でユーザーがアクセス権を持っているリソースを表示する方法について学ぶことができます。

アクセス パッケージに割り当てられているユーザーを表示する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

このレポートを使用すると、アクセス パッケージに割り当てられているすべてのユーザーを一覧表示できます。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [アクセス パッケージ] ページで、目的のアクセス パッケージを選択します。

  4. 左側のメニューで、[割り当て] を選択してから、[ダウンロード] を選択します。

  5. ファイル名を確認し、[ダウンロード] をクリックします。

ユーザーのアクセス パッケージを表示する

このレポートを使用すると、ユーザーが要求できるすべてのアクセス パッケージと、現在そのユーザーに割り当てられているアクセス パッケージを一覧表示できます。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[レポート] の順に移動します。

  3. [Access packages for a user] (ユーザーのアクセス パッケージ) を選択します。

  4. [ユーザーの選択] を選択して、[ユーザーの選択] ペインを開きます。

  5. 一覧でユーザーを探し、[選択] を選択します。

    [要求できます] タブには、ユーザーがアクセスできるアクセス パッケージの一覧が表示されます。 この一覧は、アクセス パッケージで定義されている要求ポリシーによって決まります。

    ユーザーのアクセス パッケージ

  6. アクセス パッケージに 1 つ以上のリソースのロールやポリシーがある場合、そのリソースのロールまたはポリシーのエントリーを選択して選択内容の詳細を確認してください。

  7. [割り当て済み] タブを選択すると、そのユーザーに現在割り当てられているアクセス パッケージの一覧が表示されます。 アクセス パッケージがユーザーに割り当てられていると、そのユーザーがそのアクセス パッケージ内のすべてのリソースのロールにアクセスできることを意味します。

ユーザーのリソースの割り当てを表示する

このレポートでは、エンタイトルメント管理でユーザーに現在割り当てられているリソースを一覧表示できます。 このレポートは、エンタイトルメント管理で管理されているリソースを対象としています。 ユーザーは、エンタイトルメント管理の外部にあるディレクトリ内の他のリソースにアクセスできる可能性があります。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[レポート] の順に移動します。

  3. [Resource assignments for a user] (ユーザーのリソースの割り当て) を選択します。

  4. [ユーザーの選択] を選択して、[ユーザーの選択] ペインを開きます。

  5. 一覧でユーザーを探し、[選択] を選択します。

    ユーザーに現在割り当てられているリソースの一覧が表示されます。 また、この一覧には、アクセスの開始日と終了日と共に、リソースのロールの取得元のアクセス パッケージとポリシーも表示されます。

    ユーザーが 2 つ以上のパッケージ内の同じリソースへのアクセスを得ている場合は、矢印を選択して各パッケージやポリシーを確認できます。

    ユーザーのリソースの割り当て

ユーザーの要求のステータスを確認します。

アクセスするパッケージへのアクセスをどのようにユーザーが要求し受け取ったかの追加の詳細については、Microsoft Entra 監査ログを使用できます。 具体的には、EntitlementManagementUserManagementのカテゴリ内のログ記録を使用して、各要求の処理手順における詳細情報を取得します。

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[監査ログ] の順に移動します。

  3. 上部で、探している監査レコードに応じて[カテゴリ] をEntitlementManagementまたはUserManagementに変更します。

  4. [適用] を選びます。

  5. ログをダウンロードするには、[ダウンロード] を選択します。

Microsoft Entra ID で新しい要求を受け取ると、監査レコードを書き込みます。このときカテゴリEntitlementManagementでありアクティビティは通常User requests access package assignmentです。 Microsoft Entra 管理センターで直接割り当てを作成した場合、監査レコードの [アクティビティ] フィールドは Administrator directly assigns user to access package であり、割り当てを実行するユーザーは ActorUserPrincipalName で識別されます。

Microsoft Entra ID は、要求の進行中は、以下を含め追加の監査レコードを書き込みます。

カテゴリ アクティビティ 要求の状態
EntitlementManagement Auto approve access package assignment request 要求に承認は必要ありません
UserManagement Create request approval 要求には承認が必要
UserManagement Add approver to request approval 要求には承認が必要
EntitlementManagement Approve access package assignment request 要求が承認されました
EntitlementManagement Ready to fulfill access package assignment request 要求が承認されました、または承認は必要ありません

ユーザーにアクセスが割り当てられると、アクティビティFulfill access package assignmentEntitlementManagement カテゴリの監査レコードが Microsoft Entra ID によって書き込まれます。 アクセス権を受け取ったユーザーは [ActorUserPrincipalName] フィールドで識別されます。

アクセスが割り当てられていない場合、Microsoft Entra ID では EntitlementManagement カテゴリの監査レコードを書き込みます。このときアクティビティは、要求が承認者により拒否されると Deny access package assignment request、承認者が承認する前に要求がタイムアウトすると Access package assignment request timed out (no approver action taken) になります。

ユーザーのアクセス パッケージの割り当てが期限切れになる、ユーザーがキャンセルする、または管理者が削除すると、Microsoft Entra ID によりEntitlementManagementカテゴリの監査レコードが書き込まれ、Remove access package assignmentアクティビティになります。

接続されている組織の一覧をダウンロードする

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[Connected organizations] (接続されている組織) の順に移動します。

  3. [Connected organizations] (接続されている組織) ページで、[ダウンロード] を選択します。

アクセス パッケージのイベントを表示する

監査ログ イベントを Azure Monitor に送信するように構成している場合は、組み込みのブックとカスタム ブックを使用して、Azure Monitor に保持されている監査ログを表示できます。

アクセス パッケージのイベントを表示するには、次のいずれかのロールで、基になる Azure Monitor ワークスペースにアクセスできる必要があります (詳細については、「Azure Monitor のログ データとワークスペースへのアクセスを管理する」を参照してください)。

  • 全体管理者
  • セキュリティ管理者
  • セキュリティ閲覧者
  • レポート閲覧者
  • アプリケーション管理者

  1. Microsoft Entra 管理センターで、[ID] を選択し、[Monitoring & health] (監視と正常性)[ブック] を選択します。 所有するサブスクリプションが 1 つのみの場合は、ステップ 3 に進んでください。

  2. 複数のサブスクリプションがある場合は、ワークスペースが含まれているサブスクリプションを選択します。

  3. Access Package Activity」という名前のブックを選択します。

  4. そのブックで、時間範囲を選択し (不明な場合は [すべて] に変更)、その時間範囲にアクティビティがあったすべてのアクセス パッケージのドロップダウン リストからアクセス パッケージ ID を選択します。 選択した時間範囲内に発生したアクセスパッケージに関連のあるイベントが表示されます。

    アクセス パッケージ イベントを表示する

    各行には、時刻、アクセス パッケージ ID、操作の名前、オブジェクト ID、UPN、操作を開始したユーザーの表示名が含まれます。 さらなる詳細は JSON に含まれています。

  5. あるアプリケーションで、アプリケーション ロールの割り当てに対して、アクセス パッケージの割り当てによるものではない変更 (全体管理者がアプリケーション ロールにユーザーを直接割り当てた場合など) が行われたかどうかを確認する場合は、[アプリケーション ロールの割り当てアクティビティ] という名前のブックを選択します。

    アプリ ロールの割り当てを表示する

次のステップ