Anzeigen der angewendeten Conditional Access-Details in den Microsoft Entra-Aktivitätsprotokollen

Mit Conditional Access-Richtlinien können Sie steuern, wie Ihre Benutzer Zugriff auf Azure- und Microsoft Entra-Ressourcen erhalten. Als Mandantenadministrator müssen Sie feststellen können, welche Auswirkungen Ihre Richtlinien für bedingten Zugriff auf Anmeldungen bei Ihrem Mandanten haben, damit Sie bei Bedarf Maßnahmen ergreifen können. Möglicherweise müssen Sie auch Überwachungsprotokolle für letzte Änderungen an Richtlinien für bedingten Zugriff anzeigen.

In diesem Artikel wird erläutert, wie angewendete Richtlinien für bedingten Zugriff Microsoft Entra-Aktivitätsprotokollen angezeigt werden.

Voraussetzungen

Damit Administratoren die angewendeten Richtlinien für bedingten Zugriff in den Protokollen anzeigen können, müssen sie über Berechtigungen zum Anzeigen der Protokolle und der Richtlinien verfügen. Die integrierte Rolle mit den geringsten Rechten, die beide Berechtigungen gewährt, heißt Sicherheitsleser. Als bewährte Methode sollten Sie den entsprechenden Administratorkonten die Rolle „Sicherheitsleser“ hinzufügen.

Die folgenden integrierten Rollen gewähren Berechtigungen zum Lesen von Richtlinien für bedingten Zugriff:

• Sicherheitsleseberechtigter
• Sicherheitsadministrator
• Administrator für den bedingten Zugriff

Die folgenden integrierten Rollen gewähren die Berechtigung zum Anzeigen von Aktivitätsprotokollen:

• Berichtleseberechtigter
• Sicherheitsleseberechtigter
• Sicherheitsadministrator

Berechtigungen

Wenn Sie mit einer Client-App oder dem PowerShell-Modul von Microsoft Graph Protokolle aus Microsoft Graph pullen möchten, benötigt Ihre App Berechtigungen zum Empfangen der appliedConditionalAccessPolicy-Ressource aus Microsoft Graph. Als bewährte Methode sollten Sie Policy.Read.ConditionalAccess zuweisen, weil dies die Berechtigung mit den geringsten Rechten ist.

Mit den folgenden Berechtigungen kann eine Client-App über Microsoft Graph auf die Aktivitätsprotokolle und alle angewendeten Richtlinien für bedingten Zugriff in den Protokollen zugreifen:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Um das PowerShell-Modul von Microsoft Graph zu verwenden, benötigen Sie außerdem die folgenden Berechtigungen mit den geringsten Rechten mit dem erforderlichen Zugriff:

• So stimmen Sie den erforderlichen Berechtigungen zu: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• So zeigen Sie die Anmeldeprotokolle an: Get-MgAuditLogSignIn
• Zum Anzeigen der Überwachungsprotokolle: Get-MgAuditLogDirectoryAudit

Weitere Informationen finden Sie unter Get-MgAuditLogSignIn and Get-MgAuditLogDirectoryAudit.

Szenarien für bedingten Zugriff und Anmeldeprotokoll

Als Microsoft Entra-Administrator können Sie die Anmeldeprotokolle für die folgenden Aufgaben verwenden:

• Beheben von Problemen bei der Anmeldung
• Überprüfen der Featureleistung
• Bewerten der Sicherheit eines Mandanten

In einigen Szenarien müssen Sie nachvollziehen können, wie Ihre Richtlinien für bedingten Zugriff auf ein Anmeldeereignis angewendet wurden. Häufige Beispiele sind:

• Helpdeskadministratoren, die sich die angewendeten Richtlinien für bedingten Zugriff ansehen müssen, um festzustellen, ob eine Richtlinie die Grundursache für ein von einem Benutzer geöffnetes Ticket ist
• Mandantenadministratoren, die überprüfen müssen, ob die Richtlinien für bedingten Zugriff die beabsichtigten Auswirkungen auf die Benutzer eines Mandanten haben.

Sie können das Microsoft Entra-Admin Center, Azure-Portal, Microsoft Graph und PowerShell verwenden, um auf die Anmeldeprotokolle zuzugreifen.

Anzeigen von Conditional Access-Richtlinien

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Die Aktivitätsdetails von Anmeldeprotokollen enthalten mehrere Registerkarten. Die Registerkarte Bedingter Zugriff listet die auf dieses Anmeldeereignis angewendeten Richtlinien für bedingten Zugriff auf.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
3. Wählen Sie in der Tabelle ein Anmeldeelement aus, um den Bereich Anmeldedetails anzuzeigen.
4. Wählen Sie die Registerkarte Bedingter Zugriff aus.

Wenn die Richtlinien für bedingten Zugriff nicht angezeigt werden, vergewissern Sie sich, dass Sie eine Rolle verwenden, die Zugriff sowohl auf die Anmeldeprotokolle als auch die Richtlinien für bedingten Zugriff bietet.

Microsoft Graph-API

Folgen Sie diesen Anweisungen, um die Richtlinien für bedingten Zugriff und Protokolldetails mithilfe der Microsoft Graph-API im Graph-Tester anzuzeigen.

1. Melden Sie sich bei Graph-Tester an.

2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

3. Wählen Sie v1.0 für die API-Version aus.

4. Um Anmeldeversuche zu erhalten, bei denen der bedingte Zugriff in einem bestimmten Zeitrahmen fehlgeschlagen ist, fügen Sie die folgende Abfrage hinzu, und wählen Sie dann Abfrage ausführen aus.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Um eine bestimmte Conditional Access-Richtlinie anzuzeigen, fügen Sie die Richtlinien-ID hinzu.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Ressourcentyp „conditionalAccessPolicy“
• Ressourcentyp „signIn“

Microsoft Graph PowerShell

Führen Sie diese Schritte aus, um Microsoft Entra-Rollen über PowerShell aufzulisten.

1. Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module zum Installieren von Microsoft Graph PowerShell. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Verwenden Sie in einem PowerShell-Fenster Connect-MgGraph, um sich bei Ihrem Mandanten zu anmelden.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Verwenden Sie Get-MgIdentityConditionalAccessPolicy, um alle Conditional Access-Richtlinien abzurufen.

   Get-MgIdentityConditionalAccessPolicy
   

4. Verwenden Sie den folgenden Befehl, um die Ergebnisse als Liste zu formatieren:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Der folgende Befehl kann verwendet werden, um Anmeldeprotokolle in eine CSV-Datei zu exportieren, die so formatiert ist, dass Conditional Access-Details hervorgehoben sind.

1. Definieren Sie den Dateipfad für die CSV-Ausgabe.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Rufen Sie die nach einem bestimmten Datum gefilterten Protokolle ab, und exportieren Sie sie in die CSV-Datei.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Conditional Access- und Überwachungsprotokollszenarien

Die Microsoft Entra-Überwachungsprotokolle enthalten Informationen über Änderungen an den Richtlinien für bedingten Zugriff. Sie können die Überwachungsprotokolle verwenden, um herauszufinden, wann eine Richtlinie erstellt, aktualisiert oder gelöscht wurde.

Tun Sie Folgendes, um zu erkennen, wann eine vorhandene Richtlinie für bedingten Zugriff aktualisiert wurde:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
2. Browsen Sie zu Identität>Überwachung & Integrität>Überwachungsprotokolle.
3. Legen Sie den Dienst-Filter auf Bedingter Zugriff fest.
4. Legen Sie den Kategorie-Filter auf Richtlinie fest.
5. Legen Sie den Aktivität-Filter auf Aktualisieren einer Richtlinie für bedingten Zugriff fest.

Möglicherweise müssen Sie das Datum anpassen, um die gesuchten Änderungen anzuzeigen. In der Spalte Ziel wird der Name der Richtlinie für bedingten Zugriff angezeigt, die aktualisiert wurde.

Um die aktuelle Richtlinie mit der vorherigen Richtlinie zu vergleichen, wählen Sie den Überwachungsprotokolleintrag und dann die Registerkarte Geänderte Eigenschaften aus.

Zugehöriger Inhalt

• Fehlerbehebung bei Anmeldeproblemen bei bedingtem Zugriff
• Überprüfen der FAQs zu den Anmeldeprotokollen für bedingten Zugriff
• Weitere Informationen zu Anmeldeprotokollen