Visualización de informes y registros en la administración de derechos

Los informes de gestión de permisos y el registro de auditoría de Microsoft Entra proporcionan más detalles sobre a qué recursos tienen acceso las identidades. Como administrador, puede ver los paquetes de acceso y las asignaciones de recursos para una identidad y ver los registros de solicitudes con fines de auditoría o determinar el estado de una solicitud de identidades. En este artículo se describe cómo usar los informes de gestión de permisos y los registros de auditoría de Microsoft Entra.

En este artículo se describe cómo ver informes sobre los objetos actuales en la administración de derechos. Para conservar e informar sobre objetos históricos de Microsoft Entra, como identidades o asignaciones de roles de aplicación, consulte Informes personalizados en Azure Data Explorer (ADX) mediante datos de Microsoft Entra ID.

Vea el siguiente video para aprender cómo ver a qué recursos tienen acceso las identidades en la gestión de derechos.

Visualización de identidades asignadas a un paquete de acceso

Este informe le permite enumerar todas las identidades asignadas a un paquete de acceso.

  1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de gobernanza de identidad.

  2. Vaya a Gobernanza de Identidades>Gestión de derechos>Paquetes de acceso.

  3. En la página Paquetes de acceso, seleccione el paquete de acceso de interés.

  4. En el menú de la izquierda, seleccione Asignaciones y, a continuación, seleccione Descargar.

  5. Confirme el nombre de archivo y seleccione Descargar.

Consulta de los paquetes de acceso de un usuario

Este informe le permite mostrar todos los paquetes de acceso que puede solicitar un usuario y los paquetes de acceso asignados actualmente al usuario.

  1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de gobernanza de identidad.

  2. Consulta los informes de gestión>de derechos de gobernanza>deID.

  3. Seleccione Paquetes de acceso de un usuario.

  4. Elija Seleccionar usuarios para abrir el panel de selección de usuarios.

  5. Busque el usuario en la lista y, luego, elija Seleccionar.

    En la pestaña Puede solicitar se muestra una lista de los paquetes de acceso que puede solicitar el usuario. Esta lista viene determinada por las directivas de solicitud definidas para los paquetes de acceso.

    Paquetes de acceso de un usuario

  6. Si hay más de un rol o directiva de recursos para un paquete de acceso, seleccione la entrada de roles o directivas de recursos para ver los detalles de la selección.

  7. Seleccione la pestaña Asignado para ver una lista de los paquetes de acceso asignados actualmente al usuario. Si se asigna un paquete de acceso a un usuario, significa que el usuario tiene acceso a todos los roles de recurso del paquete de acceso.

Consulta de las asignaciones de recursos de un usuario

Este informe le permite mostrar los recursos asignados actualmente a un usuario en la administración de derechos. Este informe es para recursos administrados con la administración de derechos. El usuario podría tener acceso a otros recursos de su directorio fuera de la administración de derechos.

  1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de gobernanza de identidad.

  2. Consulta los informes de gestión>de derechos de gobernanza>deID.

  3. Seleccione Asignaciones de recursos de un usuario.

  4. Elija Seleccionar usuarios para abrir el panel de selección de usuarios.

  5. Busque el usuario en la lista y, luego, elija Seleccionar.

    Se muestra una lista de los recursos asignados actualmente al usuario. En la lista también se muestran el paquete de acceso y la política de la que proviene el rol de recurso, junto con las fechas de inicio y finalización del acceso.

    Si un usuario obtuvo acceso al mismo recurso en dos o más paquetes, puede seleccionar una flecha para ver cada paquete y directiva.

    Asignaciones de recursos de un usuario

Determinar el estado de la solicitud de un usuario

Para obtener detalles adicionales sobre cómo un usuario solicitó y recibió acceso a un paquete de acceso, puede usar el registro de auditoría de Microsoft Entra. En concreto, puede usar los registros de registro en las categorías EntitlementManagement y UserManagement para obtener más detalles sobre los pasos de procesamiento de cada solicitud.

  1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de gobernanza de identidad.

  2. Consulta los registros de auditoría>de gestión de derechos de gobernanza>deID.

  3. En la parte superior, cambie el valor de Categoría a EntitlementManagement o UserManagement, según el registro de auditoría que esté buscando.

  4. Seleccione Aplicar.

  5. Para descargar los registros, seleccione Descargar.

Cuando Microsoft Entra ID recibe una nueva solicitud, escribe un registro de auditoría, en el que el Category es EntitlementManagement y el Activity suele ser User requests access package assignment. Si se crea una asignación directa en el Centro de administración Microsoft Entra, el campo Activity del registro de auditoría es Administrator directly assigns user to access package y el usuario que realiza la asignación se identifica mediante el ActorUserPrincipalName.

Microsoft Entra ID escribe registros de auditoría adicionales mientras la solicitud está en curso, lo que incluye:

Categoría Actividad Estado de la solicitud
EntitlementManagement Auto approve access package assignment request La solicitud no requiere aprobación
UserManagement Create request approval La solicitud requiere aprobación
UserManagement Add approver to request approval La solicitud requiere aprobación
EntitlementManagement Approve access package assignment request Solicitud aprobada
EntitlementManagement Ready to fulfill access package assignment request Solicitud aprobada o no requiere aprobación

Cuando se asigna acceso a un usuario, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con ActividadFulfill access package assignment. El usuario que recibe el acceso se identifica mediante el campo ActorUserPrincipalName.

Si no se asignó el acceso, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con Actividad, ya sea Deny access package assignment request, si un aprobador denegó la solicitud, o Access package assignment request timed out (no approver action taken), si la solicitud agotó el tiempo de espera antes de que un aprobador pudiera aprobarla.

Cuando expira la asignación de paquetes de acceso para el usuario, el usuario la cancela, o un administrador la elimina, Microsoft Entra ID escribe un registro de auditoría para la categoría EntitlementManagement con Activity de Remove access package assignment.

Descarga de la lista de organizaciones conectadas

  1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de gobernanza de identidad.

  2. Consulta en Gobernanza>de ID, gestión>de derechos, Organizacionesconectadas.

  3. En la página organizaciones conectadas, seleccione Descargar.

Identificar a los usuarios que tienen o tendrán acceso incompatible con la separación de tareas

Con la separación de la configuración de tareas en un paquete de acceso, puede configurar que un usuario que sea miembro de un grupo de seguridad o que ya tenga una asignación a un paquete de acceso no pueda solicitar otro paquete de acceso, marcandolos como incompatibles. Luego puedes ver los paquetes de acceso configurados como incompatibles y listar los usuarios que tendrán acceso incompatible a otro paquetede acceso. También puede enumerar usuarios que ya tienen acceso incompatible a otro paquete de acceso en el Centro de administración de Microsoft Entra, usando Microsoft Graph o usando PowerShell.

Ver los eventos de un paquete de acceso

Si ha configurado para enviar eventos de registro de auditoría a Azure Monitor, puede usar los libros integrados y los libros personalizados para ver los registros de auditoría retenidos en Azure Monitor.

Para ver los eventos de un paquete de acceso, debe tener acceso al área de trabajo de Azure Monitor subyacente (consulte Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor para obtener información) y en uno de los siguientes roles:

  • Administrador global
  • Administrador de seguridad
  • Lector de seguridad
  • Lector de informes
  • Administrador de aplicaciones

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes. Asegúrese de que tiene acceso al grupo de recursos que contiene el área de trabajo de Azure Monitor.

  2. Vaya a Entra ID>Supervisión y salud>Libros.

  3. Si tiene varias suscripciones, seleccione la suscripción que contenga el área de trabajo.

  4. Una vez que haya seleccionado la suscripción, o si solo tiene una suscripción, seleccione el libro denominado Actividad de paquete de acceso.

  5. En ese libro de trabajo, seleccione un intervalo de tiempo (cambie a Todo si no está seguro) y seleccione un ID de paquete de acceso en la lista desplegable de todos los paquetes de acceso que registraron actividad durante ese intervalo de tiempo. Se mostrarán los eventos relacionados con el paquete de acceso que se produjeron durante el intervalo de tiempo seleccionado.

    Ver eventos del paquete de acceso

    Cada fila incluye la hora, el identificador de paquete de acceso, el nombre de la operación, el identificador de objeto, el UPN y el nombre para mostrar del usuario que inició la operación. En JSON se incluyen más detalles.

Consulta las asignaciones históricas de roles de solicitud que no realiza la Gestión de Derechos

Si ha configurado para enviar eventos de registro de auditoría a Azure Monitor, puede usar los libros integrados y los libros personalizados para ver los registros de auditoría retenidos en Azure Monitor.

La actividad de asignación de roles de aplicación con libro de trabajo muestra si ha habido cambios en las asignaciones de roles de aplicación para una aplicación que no se debieron a asignaciones de paquetes de acceso, como por ejemplo por parte de un administrador global que asigna directamente a un usuario a un rol de aplicación.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes. Asegúrese de que tiene acceso al grupo de recursos que contiene el área de trabajo de Azure Monitor.

  2. Vaya a Entra ID>Supervisión y salud>Libros.

  3. Si tiene varias suscripciones, seleccione la suscripción que contenga el área de trabajo.

  4. Una vez que haya seleccionado la suscripción, o si solo tiene una suscripción, seleccione el libro denominado Actividad de paquete de acceso.

    Visualización de asignaciones de roles de la aplicación

  5. Si selecciona la opción para omitir la actividad de derechos, solo se muestran los cambios en los roles de aplicación que no se realizaron mediante la administración de derechos. Por ejemplo, verá una fila si un administrador global hubiera asignado directamente un usuario a un rol de aplicación.

Visualización de cuentas huérfanas o locales en las aplicaciones

Los administradores de las aplicaciones conectadas (Salesforce, SAP Cloud Identity Services, etc.) pueden crear manualmente cuentas en las aplicaciones, evitando los controles de gobernanza implementados. Con la funcionalidad de detección de cuentas, puede generar un informe de todos los usuarios de la aplicación, identificar qué usuarios tienen cuentas de Microsoft Entra coincidentes y qué usuarios son locales para la aplicación con un solo clic. El informe clasifica las cuentas como cuentas locales, usuarios sin asignar o usuarios asignados, lo que le ayuda a identificar el acceso no administrado y el desfase de acceso. Permite simplificar la incorporación a Microsoft Entra, a la vez que supervisa periódicamente el acceso no autorizado. Para obtener pasos detallados, consulte Detección de identidades en aplicaciones de destino con detección de cuentas.

Pasos siguientes

  • Last updated on