Exibir relatórios e logs no gerenciamento de direitos
Os relatórios de gerenciamento de direitos e o log de auditoria do Microsoft Entra fornecem mais detalhes sobre quais recursos os usuários têm acesso. Como administrador, você pode exibir os pacotes de acesso e as atribuições de recursos de um usuário e exibir logs de solicitação para fins de auditoria ou determinação do status da solicitação de um usuário. Este artigo descreve como usar os relatórios de gerenciamento de direitos e os logs de auditoria do Microsoft Entra.
Assista ao vídeo a seguir para saber a que recursos os usuários têm acesso no gerenciamento de direitos:
Exibir usuários atribuídos a um pacote de acesso
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Este relatório permite listar todos os usuários atribuídos a um pacote de acesso.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.
Na página Pacotes de acesso, selecione o pacote de acesso de interesse.
No menu à esquerda, selecione Atribuições e, em seguida, selecione Download.
Confirme o nome do ficheiro e, em seguida, selecione Transferir.
Exibir pacotes de acesso para um usuário
Este relatório permite listar todos os pacotes de acesso que um usuário pode solicitar e os pacotes de acesso que estão atualmente atribuídos ao usuário.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Relatórios de gerenciamento de>direitos de governança>de identidade.
Selecione Pacotes de acesso para um usuário.
Selecione Selecionar usuários para abrir o painel Selecionar usuários.
Encontre o usuário na lista e selecione Selecionar.
A guia Pode solicitar exibe uma lista dos pacotes de acesso que o usuário pode solicitar. Essa lista é determinada pelas políticas de solicitação definidas para os pacotes de acesso.
Se houver mais de uma função ou política de recurso para um pacote de acesso, selecione a entrada de políticas ou funções de recurso para ver os detalhes da seleção.
Selecione a guia Atribuído para ver uma lista dos pacotes de acesso atualmente atribuídos ao usuário. Quando um pacote de acesso é atribuído a um usuário, isso significa que o usuário tem acesso a todas as funções de recurso no pacote de acesso.
Exibir atribuições de recursos para um usuário
Este relatório permite listar os recursos atualmente atribuídos a um usuário no gerenciamento de direitos. Este relatório destina-se a recursos geridos com gestão de direitos. O usuário pode ter acesso a outros recursos em seu diretório fora do gerenciamento de direitos.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Relatórios de gerenciamento de>direitos de governança>de identidade.
Selecione Atribuições de recursos para um usuário.
Selecione Selecionar usuários para abrir o painel Selecionar usuários.
Encontre o usuário na lista e selecione Selecionar.
Uma lista dos recursos atualmente atribuídos ao usuário é exibida. A lista também mostra o pacote de acesso e a política a partir da qual eles obtiveram a função de recurso, juntamente com as datas de início e término do acesso.
Se um usuário tiver acesso ao mesmo recurso em dois ou mais pacotes, você poderá selecionar uma seta para ver cada pacote e política.
Determinar o status da solicitação de um usuário
Para obter detalhes adicionais sobre como um usuário solicitou e recebeu acesso a um pacote de acesso, você pode usar o log de auditoria do Microsoft Entra. Em particular, você pode usar os registros de log nas EntitlementManagement
categorias e UserManagement
para obter mais detalhes sobre as etapas de processamento para cada solicitação.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Logs de auditoria.
Na parte superior, altere a Categoria para uma ou
UserManagement
EntitlementManagement
, dependendo do registro de auditoria que você está procurando.Selecione Aplicar.
Para transferir os registos, selecione Transferir.
Quando o Microsoft Entra ID recebe uma nova solicitação, ele grava um registro de auditoria, no qual a Categoria é EntitlementManagement
e a Atividade é normalmente User requests access package assignment
. Se uma atribuição direta for criada no centro de administração do Microsoft Entra, o campo Atividade do registro de auditoria será Administrator directly assigns user to access package
, e o usuário que executa a atribuição será identificado pelo ActorUserPrincipalName.
O Microsoft Entra ID grava registros de auditoria adicionais enquanto a solicitação está em andamento, incluindo:
Categoria | Atividade | Estado do pedido |
---|---|---|
EntitlementManagement |
Auto approve access package assignment request |
A solicitação não requer aprovação |
UserManagement |
Create request approval |
Pedido requer aprovação |
UserManagement |
Add approver to request approval |
Pedido requer aprovação |
EntitlementManagement |
Approve access package assignment request |
Pedido aprovado |
EntitlementManagement |
Ready to fulfill access package assignment request |
Solicitação aprovada ou não requer aprovação |
Quando um usuário recebe acesso, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement
categoria com Activity Fulfill access package assignment
. O usuário que recebeu o acesso é identificado pelo campo ActorUserPrincipalName .
Se o acesso não foi atribuído, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement
categoria com Atividade Deny access package assignment request
, se a solicitação foi negada por um aprovador ou Access package assignment request timed out (no approver action taken)
, se a solicitação expirou antes que um aprovador pudesse aprovar.
Quando a atribuição do pacote de acesso do usuário expira, é cancelada pelo usuário ou removida por um administrador, o Microsoft Entra ID grava um registro de auditoria para a EntitlementManagement
categoria com Atividade de Remove access package assignment
.
Lista de download de organizações conectadas
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.
Na página Organizações conectadas, selecione Download.
Ver eventos para um pacote de acesso
Se você tiver configurado para enviar eventos de log de auditoria para o Azure Monitor, poderá usar as pastas de trabalho internas e as pastas de trabalho personalizadas para exibir os logs de auditoria retidos no Azure Monitor.
Para exibir eventos para um pacote de acesso, você deve ter acesso ao espaço de trabalho subjacente do monitor do Azure (consulte Gerenciar acesso a dados de log e espaços de trabalho no Azure Monitor para obter informações) e em uma das seguintes funções:
- Administrador Global
- Administrador de Segurança
- Leitor de Segurança
- Leitor de Relatórios
- Administrador da Aplicação
No centro de administração do Microsoft Entra, selecione Identidade e, em seguida, selecione Pastas de trabalho em Monitoramento e integridade. Se tiver apenas uma subscrição, avance para o passo 3.
Se você tiver várias assinaturas, selecione a assinatura que contém o espaço de trabalho.
Selecione a pasta de trabalho chamada Atividade do Pacote do Access.
Nessa pasta de trabalho, selecione um intervalo de tempo (altere para Todos se não tiver certeza) e selecione uma ID de pacote de acesso na lista suspensa de todos os pacotes de acesso que tiveram atividade durante esse intervalo de tempo. Os eventos relacionados ao pacote de acesso que ocorreram durante o intervalo de tempo selecionado serão exibidos.
Cada linha inclui a hora, o ID do pacote de acesso, o nome da operação, o ID do objeto, o UPN e o nome para exibição do usuário que iniciou a operação. Mais detalhes estão incluídos no JSON.
Se você quiser ver se houve alterações nas atribuições de função de aplicativo para um aplicativo que não foram devido a atribuições de pacote de acesso, como por um Administrador Global atribuindo diretamente um usuário a uma função de aplicativo, então você pode selecionar a pasta de trabalho chamada Atividade de atribuição de função de aplicativo.