Überwachen von Administratorereignissen bei der Microsoft Entra Connect-Synchronisierung (Public Preview)
Im Januar 2025 haben wir eine neue Version (2.4.129.0) von Microsoft Entra Connect Sync veröffentlicht. Diese Version enthält eine Aktualisierung der Überwachung, die standardmäßig aktiviert ist. Mit diesem Update können Sie jetzt Administratorereignisse und -aktivitäten überwachen. Im folgenden Artikel wird beschrieben, wie Sie das Überwachungsfeature deaktivieren.
Manuelles Deaktivieren der Überwachung von Administratorereignissen
Führen Sie die folgenden Schritte aus, um die Überwachung von Administratorereignissen zu deaktivieren:
- Öffnen Sie den Registrierungs-Editor – Drücken Sie WIN+R, um das Dialogfeld "Ausführen" zu öffnen.
- Geben Sie regedit ein, und drücken Sie die EINGABETASTE, um den Registrierungseditor zu starten. Bestätigen Sie alle Sicherheitsaufforderungen, um fortzufahren.
- Navigieren Sie zum folgenden Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect.
- Ändern oder erstellen Sie den AuditEventLogging-Wert, indem Sie mit der rechten Maustaste auf den Azure AD Connect-Schlüssel klicken und dann „Neu“ >DWORD (32-Bit) auswählen, falls der Wert „AuditEventLogging“ noch nicht vorhanden ist.
- Geben Sie den neuem DWORD-Wert den Namen AuditEventLogging.
- Doppelklicken Sie auf den Eintrag AuditEventLogging, und geben Sie 0 ein, um die Überwachungsereignisprotokollierung zu deaktivieren. Geben Sie 1 ein, um sie erneut zu aktivieren.
So verwenden Sie PowerShell, um die Überwachung von Administratorereignissen zu deaktivieren.
Sie können auch PowerShell verwenden, um die Überwachungsprotokollierung von Administratorereignissen zu deaktivieren. Verwenden Sie das folgende Skript.
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
Liste der protokollierten Ereignisse
Die folgende Tabelle enthält eine Liste von Ereignissen, die mit dem neuen Überwachungsfeature protokolliert werden. Um die Ereignisse anzuzeigen, verwenden Sie die Ereignisanzeige und suchen Sie im Anwendungsprotokoll.
| EventID | EventName | Beschreibung |
|---|---|---|
| 2503 | Verzeichnisse hinzufügen/aktualisieren/löschen | Stellt den Namen des betroffenen Verzeichnisses bereit. |
| 2504 | Express-Einstellungsmodus aktivieren | Dieses Ereignis wird protokolliert, wenn vom Administrator "Express Setup" ausgewählt wird. |
| 2505 | Domänen und Organisationseinheit für die Synchronisierung aktivieren/deaktivieren | Zeigt eine Liste aller mit Connect Sync verbundenen Domänen an. |
| 2506 | Aktivieren/Deaktivieren der PHS-Synchronisierung | Zeigt an, dass die Kennworthashsynchronisierung aktiviert oder deaktiviert ist. |
| 2507 | Aktivieren/Deaktivieren des Synchronisierungsstarts nach der Installation | Ereignis wird protokolliert, wenn die Synchronisierung aktiviert oder deaktiviert wird, wenn die Installation abgeschlossen ist. |
| 2508 | ADDS-Konto erstellen | Zeigt das erstellte Konto an, das zum Herstellen einer Verbindung mit dem neuen Hinzugefügten Verzeichnis erforderlich ist. |
| 2509 | Vorhandenes ADDS-Konto verwenden | Zeigt den Namen des Kontos an, das zum Herstellen einer Verbindung mit dem Verzeichnis verwendet wird. |
| 2510 | Erstellen/Aktualisieren/Löschen benutzerdefinierter Synchronisierungsregel | Zeigt den Namen der Synchronisierungsregel an, die sich geändert hat, zusammen mit Informationen dazu, was geändert wurde. |
| 2511 | Aktivieren/Deaktivieren der domänenbasierten Filterung | Zeigt an, dass die Domänenfilterung ausgewählt ist und ausgewählte Domänen auflistet |
| 2512 | OE-basierte Filterung aktivieren/deaktivieren | Zeigt an, dass die OE-basierte Filterung ausgewählt ist und ausgewählte OEs aufgelistet werden. |
| 2513 | Anmeldemethode der benutzenden Person geändert | Zeigt die alte Anmeldemethode und die neue an. |
| 2514 | Konfigurieren einer neuen ADFS-Farm | Zeigt den Namen des Verbunddiensts an. |
| 2515 | Aktivierung/Deaktivierung von Single Sign-On | Zeigt eine Änderung des einmaligen Anmeldens an. |
| 2516 | Webanwendungsproxyserver installieren | Zeigt den ausgewählten ADFS-Server und den Domänenadministratorbenutzernamen an. |
| 2517 | Berechtigungen festlegen | Zeigt die geänderte AD Sync-Berechtigung an. |
| 2518 | ADDS-Connector-Anmeldeinformationen ändern | Zeigt die geänderten Anmeldeinformationen des ADDS-Connectors an. |
| 2519 | Kennwort des Entra ID-Connectorkontos erneut initialisieren | Zeigt, dass das Kennwort für das AD Sync-Dienstkontos zurückgesetzt wurde. |
| 2520 | Installieren des ADFS-Servers | Zeigt den ausgewählten Server an |
| 2521 | ADFS-Dienstkonto festlegen | Gibt an, ob es sich um ein gruppenverwaltetes Konto oder einen Domänenbenutzer handelt. Enthält Administratorbenutzername |