Teilen über

Tutorial: Steuern und Überwachen von Anwendungen

  • Artikel

Der IT-Administrator bei Fabrikam hat eine Anwendung aus dem Microsoft Entra-Anwendungskatalog hinzugefügt und konfiguriert. Außerdem wurde mithilfe der Informationen unter Tutorial: Verwalten des Anwendungszugriffs und der Sicherheit sichergestellt, dass der Zugriff verwaltet werden kann und die Anwendung sicher ist. Er muss nun die Ressourcen kennenlernen, die zum Steuern und Überwachen der Anwendung verfügbar sind.

Anhand der Informationen in diesem Tutorial lernen Administratoren der Anwendung Folgendes:

  • Erstellen einer Zugriffsüberprüfung
  • Zugreifen auf die Überwachungsprotokolle
  • Zugriff auf die Anmeldungen
  • Senden von Protokollen an Azure Monitor

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto, falls Sie noch keines besitzen.
  • Eine der folgenden Rollen: Identitätsgovernanceadministrator, Administrator für privilegierte Rollen, Cloudanwendungsadministrator oder Anwendungsadministrator.
  • Eine Unternehmensanwendung, die in Ihrem Microsoft Entra-Mandanten konfiguriert wurde.

Erstellen einer Zugriffsüberprüfung

Der Administrator möchte sicherstellen, dass Benutzer oder Gäste über den entsprechenden Zugriff verfügen. Er entscheidet, Benutzer der Anwendung aufzufordern, an einer Zugriffsüberprüfung teilzunehmen und ihren Zugriffsbedarf erneut zertifizieren oder bestätigen zu lassen. Nach Abschluss einer Zugriffsüberprüfung kann er dann Änderungen vornehmen und Zugriffsrechte für Benutzer entfernen, die diese nicht mehr benötigen. Weitere Informationen finden Sie unter Verwaltung von Benutzer- und Gastbenutzerzugängen mit Zugriffsüberprüfungen.

So erstellen Sie eine Zugriffsüberprüfung:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Identitätsgovernance>Zugriffsüberprüfungen.
  3. Wählen Sie Neue Zugriffsüberprüfung aus, um eine neue Zugriffsüberprüfung zu erstellen.
  4. Wählen Sie unter Wählen Sie die zu überprüfenden Elemente aus die Option Anwendungen aus.
  5. Wählen Sie + Anwendung(en) auswählen, die Anwendung und dann Auswählen aus.
  6. Jetzt können Sie einen Bereich für die Überprüfung auswählen. Die Optionen sind wie folgt:
    • Nur Gastbenutzer - Diese Option beschränkt die Zugriffsüberprüfung ausschließlich auf die Microsoft Entra B2B-Gastbenutzer*innen in Ihrem Verzeichnis.
    • Alle Benutzer: Mit dieser Option wird die Zugriffsüberprüfung auf alle Benutzerobjekte angewendet, die der Ressource zugeordnet sind. Wählen Sie Alle Benutzer.
  7. Wählen Sie Weiter: Überprüfungen aus.
  8. Wählen Sie im Abschnitt Prüfer angeben im Feld „Prüfer auswählen“ die Option Ausgewählte Benutzer oder Gruppen aus, und wählen Sie + Prüfer auswählen und dann das Benutzerkonto aus, das der Anwendung zugewiesen ist.
  9. Wählen Sie im Abschnitt Wiederholung der Überprüfung angeben die folgenden Optionen aus:
    • Dauer (in Tagen): Akzeptieren Sie den Standardwert 3.
    • Wiederholung der Überprüfung: Wählen Sie Einmalig aus.
    • Startdatum: Akzeptieren Sie das heutige Datum als Startdatum.
  10. Wählen Sie Weiter: Einstellungen aus.
  11. Im Abschnitt Einstellungen nach Abschluss können Sie angeben, was nach Abschluss der Überprüfung geschehen soll. Wählen Sie Ergebnisse automatisch auf Ressource anwenden aus.
  12. Klicken Sie auf Weiter: Überprüfen + erstellen.
  13. Benennen Sie die Zugriffsüberprüfung. Wahlweise können Sie jeder Überprüfung eine Beschreibung hinzufügen. Den Prüfern werden Name und Beschreibung angezeigt.
  14. Überprüfen Sie die Informationen, und wählen Sie Erstellen aus.

Starten der Zugriffsüberprüfung

Die Zugriffsüberprüfung beginnt in wenigen Minuten und wird in Ihrer Liste mit einem Statusindikator angezeigt.

Standardmäßig sendet Microsoft Entra ID kurz nach dem Start der Überprüfung eine E-Mail an die Prüfer. Wenn Sie nicht möchten, dass Microsoft Entra ID die E-Mail sendet, stellen Sie sicher, dass die Prüfer darüber in Kenntnis gesetzt werden, dass sie eine ausstehende Zugriffsüberprüfung abschließen müssen. Sie können ihnen die Anweisungen zum Überprüfen des Zugriffs auf Gruppen oder Anwendungen anzeigen. Wenn Ihre Überprüfung für Gäste gedacht ist, die ihren eigenen Zugriff überprüfen sollen, zeigen Sie ihnen die Anweisungen zum Überprüfen des eigenen Zugriffs auf Gruppen oder Anwendungen an.

Wenn Sie Gäste als Prüfer zugewiesen haben und diese ihre Einladung für den Mandanten nicht akzeptiert haben, erhalten sie keine E-Mail von Zugriffsüberprüfungen. Sie müssen zunächst die Einladung annehmen, bevor sie mit der Überprüfung beginnen können.

Anzeigen des Status der Zugriffsüberprüfung

Sie können den Fortschritt der Zugriffsüberprüfungen nachverfolgen, sobald sie abgeschlossen sind.

  1. Navigieren Sie zu Identität>Identitätsgovernance>Zugriffsüberprüfungen.
  2. Wählen Sie in der Liste die von Ihnen erstellte Zugriffsüberprüfung aus.
  3. Überprüfen Sie auf der Seite Übersicht den Fortschritt der Zugriffsüberprüfung.

Die Seite Ergebnisse bietet Informationen zu allen Benutzer*innen, die in der Instanz überprüft werden, einschließlich der Möglichkeit, Ergebnisse zu beenden, zurückzusetzen und herunterzuladen. Weitere Informationen finden Sie im Artikel Durchführen einer Zugriffsüberprüfung für Gruppen und Anwendungen in Microsoft Entra-Zugriffsüberprüfungen.

Zugreifen auf die Überwachungsprotokolle

Die Microsoft Entra-Überwachungsprotokolle erfassen eine Vielzahl von Aktivitäten innerhalb Ihres Mandanten. Diese Protokolle bieten wertvolle Einblicke in die Aktivitäten, die Sie überwachen müssen. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.

Um auf die Überwachungsprotokolle zuzugreifen, wechseln Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle.

Die Überwachungsprotokolle erfassen Aktivitäten, die unter die folgenden Kategorien fallen. Diese Liste ist nicht vollständig. Eine vollständige Liste der Überwachungsprotokollkategorien und -aktivitäten finden Sie unter Überwachungsprotokollaktivitäten.

  • Kennwortzurücksetzungsaktivität
  • Aktivität "Registrierung für Zurücksetzen des Kennworts"
  • Self-Service-Gruppenaktivität
  • Namensänderungen für Office 365-Gruppen
  • Kontobereitstellungsaktivität
  • Status des Kennwortrollovers
  • Kontobereitstellungsfehler

Zugreifen auf die Anmeldeprotokolle

Die Microsoft Entra-Anmeldeprotokolle erfassen interaktive, nicht interaktive, verwaltete Identitäten und Anmeldungen von Dienstprinzipalen. Weitere Informationen finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.

Um auf die Anmeldeprotokolle zuzugreifen, wechseln Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.

Sie können auch Anwendungsanmeldungsinformationen aus dem Bereich "Unternehmensanwendungen" anzeigen. Die Anmeldeprotokolle öffnen dieselben Protokolle, die Sie auch unter Überwachung und Integrität>Anmeldeprotokolle finden. Der Filter ist jedoch bereits auf die ausgewählte Anwendung festgelegt. Der Bericht Usage & Insights fasst auch Anmeldeaktivitäten für die Anwendung zusammen.

Senden von Protokollen an Azure Monitor

Die Microsoft Entra-Aktivitätsprotokolle speichern informationen nur sieben Tage lang für Microsoft Entra ID Free und 30 Tage für Microsoft Entra ID P1/P2. Je nach Ihren Anforderungen benötigen Sie möglicherweise zusätzlichen Speicher, um die Aktivitätsprotokolldaten zu sichern.

Mithilfe von Azure Monitor-Protokollen können Sie die Daten länger aufbewahren und leistungsstarke Analysetools wie Visualisierung und Warnungen aktivieren. Weitere Informationen zum Integrieren von Protokollen in Azure Monitor-Protokollen finden Sie unter Integrieren von Microsoft Entra-Protokollen in Azure Monitor.

Um Protokolle an Azure Monitor zu senden, benötigen Sie einen Log Analytics-Arbeitsbereich. Nachdem dies erstellt wurde, konfigurieren Sie Diagnoseeinstellungen für die Integration in Log Analytics. Es gibt Kostenüberlegungen im Zusammenhang mit der Integration von Protokollen in Azure Monitor und Log Analytics. Lesen Sie daher diesen Abschnitt Microsoft Entra-Aktivitätsprotokolle in Azure Monitor, bevor Sie fortfahren.

Mit konfiguriertem Log Analytics-Arbeitsbereich:

  1. Wählen Sie Diagnoseeinstellungen und dann Diagnoseeinstellung hinzufügen aus. Sie können auch auf der Seite Überwachungsprotokolle oder Anmeldungen auf Exporteinstellungen klicken, um zur Konfigurationsseite für die Diagnoseeinstellungen zu gelangen.
  2. Wählen Sie die Protokolle aus, die Sie streamen möchten, wählen Sie den Arbeitsbereich "An Log Analytics senden" aus, und füllen Sie die Felder aus.
  3. Wählen Sie Speichern aus.

Vergewissern Sie sich nach etwa 15 Minuten, dass Ereignisse an Ihren Log Analytics-Arbeitsbereich gestreamt werden.

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, und lernen Sie das...

Verwalten der Einwilligung zu Anwendungen und Auswerten von Einwilligungsanforderungen