Freigeben über

Berichte und Protokolle anzeigen in der Berechtigungsverwaltung

Die Berichte der Berechtigungsverwaltung und das Microsoft Entra-Überwachungsprotokoll enthalten weitere Details zu den Ressourcen, auf die Benutzer Zugriff haben. Als Administrator können Sie die Zugriffspakete und Ressourcenzuweisungen für einen Benutzer sowie die Anforderungsprotokolle zu Überprüfungszwecken oder zum Ermitteln des Status einer Benutzeranforderung anzeigen. In diesem Artikel wird die Verwendung von Berichten der Berechtigungsverwaltung und von Microsoft Entra-Überwachungsprotokollen beschrieben.

In diesem Artikel wird beschrieben, wie man Berichte über aktuelle Objekte im Berechtigungsmanagement anzeigen kann. Informationen zum Aufbewahren und Melden von historischen Microsoft Entra-Objekten, z. B. Benutzern oder Anwendungsrollenzuweisungen, finden Sie unter Angepasste Berichte im Azure Data Explorer (ADX) mithilfe von Daten aus microsoft Entra ID.

Sehen Sie sich das folgende Video an, um zu erfahren, wie Sie in der Berechtigungsverwaltung anzeigen können, auf welche Ressourcen Benutzer Zugriff haben:

Anzeigen von Benutzern, die einem Zugriffspaket zugewiesen sind

In diesem Bericht können Sie alle Benutzer auflisten, die einem Zugriffspaket zugewiesen sind.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspakete.

  3. Wählen Sie auf der Seite „Zugriffspakete“ das gewünschte Zugriffspaket aus.

  4. Wählen Sie im linken Menü " Aufgaben" und dann " Herunterladen" aus.

  5. Bestätigen Sie den Dateinamen, und wählen Sie dann "Herunterladen" aus.

Anzeigen von Zugriffspaketen für einen Benutzer

Mit diesem Bericht können Sie alle Zugriffspakete auflisten, die ein Benutzer anfordern kann und die dem Benutzer derzeit zugewiesen sind.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Berichte.

  3. Wählen Sie Access-Pakete für einen Benutzer aus.

  4. Wählen Sie "Benutzer auswählen " aus, um den Bereich "Benutzer auswählen" zu öffnen.

  5. Suchen Sie den Benutzer in der Liste, und wählen Sie dann "Auswählen" aus.

    Auf der Registerkarte "Kann anfordern " wird eine Liste der Zugriffspakete angezeigt, die der Benutzer anfordern kann. Diese Liste wird durch die Anforderungsrichtlinien bestimmt, die für die Zugriffspakete definiert sind.

    Zugriffspakete für einen Benutzer

  6. Wenn es mehr als eine Ressourcenrolle oder Richtlinie für ein Zugriffspaket gibt, wählen Sie den Eintrag für die Ressourcenrollen bzw. Richtlinien aus, um die Auswahldetails anzuzeigen.

  7. Wählen Sie die Registerkarte "Zugewiesen " aus, um eine Liste der Zugriffspakete anzuzeigen, die dem Benutzer derzeit zugewiesen sind. Wenn einem Benutzer ein Zugriffspaket zugewiesen ist, bedeutet dies, dass der Benutzer Zugriff auf alle Ressourcenrollen im Zugriffspaket hat.

Anzeigen der Ressourcenzuweisungen für einen Benutzer

Mit diesem Bericht können Sie die Ressourcen auflisten, die einem Benutzer derzeit in der Berechtigungsverwaltung zugewiesen sind. Dieser Bericht gilt für mit der Berechtigungsverwaltung verwaltete Ressourcen. Der Benutzer hat möglicherweise Zugriff auf andere Ressourcen in Ihrem Verzeichnis außerhalb der Berechtigungsverwaltung.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Berichte.

  3. Wählen Sie Ressourcenzuordnungen für einen Benutzer aus.

  4. Wählen Sie "Benutzer auswählen " aus, um den Bereich "Benutzer auswählen" zu öffnen.

  5. Suchen Sie den Benutzer in der Liste, und wählen Sie dann "Auswählen" aus.

    Es wird eine Liste der Ressourcen angezeigt, die dem Benutzer aktuell zugewiesen sind. In der Liste werden auch das Zugriffspaket und die Richtlinie angezeigt, von denen die Ressourcenrolle stammt, sowie das Start-und Enddatum für den Zugriff.

    Wenn ein Benutzer in zwei oder mehr Paketen Zugriff auf dieselbe Ressource hat, können Sie auf einen Pfeil wählen, um die einzelnen Pakete und Richtlinien anzuzeigen.

    Ressourcenzuordnungen für einen Benutzer

Ermitteln des Status einer Benutzeranforderung

Sie können das Microsoft Entra-Überwachungsprotokoll verwenden, um weitere Details darüber abzurufen, wie Benutzer Zugriff auf ein Zugriffspaket angefordert und erhalten haben. Insbesondere können Sie die Protokolleinträge in den Kategorien EntitlementManagement und UserManagement nutzen, um weitere Details zu den Verarbeitungsschritten für jede Anforderung zu erhalten.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Überwachungsprotokollen.

  3. Ändern Sie oben die Kategorie in entweder EntitlementManagement oder UserManagement, je nach dem Überwachungsdatensatz, nach dem Sie suchen.

  4. Wählen Sie Übernehmen.

  5. Um die Protokolle herunterzuladen, wählen Sie "Herunterladen" aus.

Wenn Microsoft Entra-ID eine neue Anforderung empfängt, schreibt sie einen Überwachungsdatensatz, in dem die Kategorie ist EntitlementManagement und die Aktivität in der Regel User requests access package assignmentist. Wenn eine direkte Zuweisung im Microsoft Entra Admin Center erstellt wurde, ist das Feld Aktivität des Überwachungsdatensatzes Administrator directly assigns user to access package, und der Benutzer, der die Zuweisung ausführt, wird durch den ActorUserPrincipalName identifiziert.

Während die Anforderung ausgeführt wird, schreibt Microsoft Entra ID zusätzliche Überwachungsdatensätze, die Folgendes umfassen:

Kategorie Aktivität Anfragestatus
EntitlementManagement Auto approve access package assignment request Anforderung erfordert keine Genehmigung
UserManagement Create request approval Anforderung muss genehmigt werden
UserManagement Add approver to request approval Anforderung muss genehmigt werden
EntitlementManagement Approve access package assignment request Anforderung genehmigt
EntitlementManagement Ready to fulfill access package assignment request Anforderung wurde genehmigt oder muss nicht genehmigt werden

Wenn einem Benutzer der Zugriff zugewiesen ist, schreibt die Microsoft Entra-ID einen Überwachungsdatensatz für die EntitlementManagement Kategorie mit AktivitätFulfill access package assignment. Der Benutzer, der den Zugriff erhalten hat, wird durch das ActorUserPrincipalName-Feld identifiziert.

Wenn kein Zugriff zugewiesen wurde, schreibt Microsoft Entra ID einen Überwachungsdatensatz für die Kategorie EntitlementManagement, wobei die Aktivität entweder Deny access package assignment request lautet, wenn die Anforderung von einer genehmigenden Person abgelehnt wurde, oder Access package assignment request timed out (no approver action taken), wenn bei der Anforderung ein Timeout aufgetreten ist, bevor sie von einer genehmigenden Person genehmigt werden konnte.

Wenn die Zugriffspaketzuweisung des Benutzers abläuft, vom Benutzer storniert oder von einem Administrator entfernt wird, schreibt Microsoft Entra-ID ein Prüfprotokoll für die Kategorie EntitlementManagement mit der Aktivität von Remove access package assignment.

Herunterladen der Liste der verbundenen Organisationen

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Verbundene Organisationen.

  3. Wählen Sie auf der Seite "Verbundene Organisationen" die Option "Herunterladen" aus.

Identifizieren Sie Benutzer, die einen inkompatiblen Zugriff haben oder haben werden, der gegen die Trennung von Aufgaben verstößt.

Mit der Trennung von Aufgabeneinstellungen für ein Zugriffspaket können Sie konfigurieren, dass ein Benutzer, der Mitglied einer Sicherheitsgruppe ist oder bereits über eine Zuweisung zu einem Zugriffspaket verfügt, kein anderes Zugriffspaket anfordern kann, indem Sie diese als inkompatibel markieren. Sie können dann Zugriffspakete anzeigen, die als inkompatibel konfiguriert sind, und Benutzer auflisten, die inkompatiblen Zugriff auf ein anderes Zugriffspaket haben. Sie können auch Benutzer auflisten, die bereits inkompatiblen Zugriff auf ein anderes Zugriffspaket im Microsoft Entra Admin Center haben, microsoft Graph oder PowerShell verwenden.

Anzeigen von Ereignissen für ein Zugriffspaket

Wenn Sie das Senden von Überwachungsprotokollereignissen an Azure Monitor konfiguriert haben, können Sie die integrierten Arbeitsmappen und benutzerdefinierten Arbeitsmappen verwenden, um die in Azure Monitor aufbewahrten Überwachungsprotokolle anzuzeigen.

Zum Anzeigen von Ereignissen für ein Zugriffspaket benötigen Sie Zugriff auf den zugrunde liegenden Azure Monitor-Arbeitsbereich (siehe Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor für Informationen) und in einer der folgenden Rollen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter
  • Berichtleseberechtigte
  • Anwendungsadministrator

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an. Stellen Sie sicher, dass Sie Zugriff auf die Ressourcengruppe haben, die den Azure Monitor-Arbeitsbereich enthält.

  2. Navigieren Sie zu Entra ID>Überwachung & Integrität>Arbeitsmappen.

  3. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, das den Arbeitsbereich enthält.

  4. Nachdem Sie das Abonnement ausgewählt haben oder nur über ein Abonnement verfügen, wählen Sie die Arbeitsmappe mit dem Namen Access-Paketaktivität aus.

  5. Wählen Sie in dieser Arbeitsmappe einen Zeitraum aus (ändern zu Alle, falls Sie nicht sicher sind), und wählen Sie eine Zugriffspaket-ID aus der Dropdown-Liste aller Zugriffspakete aus, die in diesem Zeitraum Aktivitäten hatten. Es werden die Ereignisse im Zusammenhang mit dem Zugriffspaket angezeigt, die während des ausgewählten Zeitbereichs auftraten.

    Zugriffspaketereignisse anzeigen

    Jede Zeile enthält die Uhrzeit, die Zugriffspaket-ID, den Namen des Vorgangs, die Objekt-ID, den UPN und den Anzeigenamen des Benutzers, der den Vorgang gestartet hat. Weitere Details sind im JSON-Code enthalten.

Anzeigen von historischen Anwendungsrollenzuweisungen, die nicht von der Berechtigungsverwaltung vorgenommen wurden

Wenn Sie das Senden von Überwachungsprotokollereignissen an Azure Monitor konfiguriert haben, können Sie die integrierten Arbeitsmappen und benutzerdefinierten Arbeitsmappen verwenden, um die in Azure Monitor aufbewahrten Überwachungsprotokolle anzuzeigen.

Die Arbeitsmappe Anwendungsrollenzuweisungsaktivität zeigt an, ob Änderungen an Anwendungsrollenzuweisungen für eine Anwendung aufgetreten sind, die nicht auf Paketzuweisungen zurückzuführen waren, z. B. durch einen globalen Administrator, der einen Benutzer direkt einer Anwendungsrolle zuweist.

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an. Stellen Sie sicher, dass Sie Zugriff auf die Ressourcengruppe haben, die den Azure Monitor-Arbeitsbereich enthält.

  2. Navigieren Sie zu Entra ID>Überwachung & Integrität>Arbeitsmappen.

  3. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, das den Arbeitsbereich enthält.

  4. Nachdem Sie das Abonnement ausgewählt haben oder nur über ein Abonnement verfügen, wählen Sie die Arbeitsmappe mit dem Namen Access-Paketaktivität aus.

    Anzeigen von App-Rollenzuweisungen

  5. Wenn Sie die Berechtigungsaktivität weglassen, werden nur Änderungen an Anwendungsrollen angezeigt, die nicht von der Berechtigungsverwaltung vorgenommen wurden. So würden Sie beispielsweise eine Zeile sehen, wenn ein globaler Administrator einem Benutzer direkt eine Anwendungsrolle zugewiesen hat.

Nächste Schritte