Häufig gestellte Fragen zur Überwachung und Integrität bei Microsoft Entra

Lesen Sie Microsoft Entra ID-Lizenzierung, um Ihre Microsoft Entra-Edition zu aktualisieren.

Wenn Sie bereits über Aktivitätsprotokolldaten mit einer kostenlosen Lizenz verfügen, können Sie sie sofort sehen. Wenn Sie keine Daten haben, kann es bis zu drei Tage dauern, bis die Daten in den Berichten angezeigt werden.

Wenn Sie kürzlich zu einer Premium-Version (einschließlich einer Testversion) gewechselt sind, können Sie anfänglich Daten von bis zu 7 Tagen sehen. Wenn sich Daten ansammeln, können Sie die Daten der letzten 30 Tage sehen.

Die Rolle mit den geringsten Rechten zum Anzeigen von Überwachungs- und Anmeldeprotokollen ist Berichtsleser. Weitere Rollen sind Sicherheitsleseberechtigter und Sicherheitsadministrator.

Anmeldung, Überwachung, Bereitstellung, ID-Schutz, Netzwerkzugriff und viele andere Protokolle können in Azure Monitor und andere Überwachungs- und Benachrichtigungstools integriert werden. Überwachungsereignisse im Zusammenhang mit B2C sind derzeit nicht enthalten. Eine vollständige Liste der Microsoft Entra-Protokolle, die in andere Endpunkte integriert werden können, finden Sie unter Protokolloptionen für das Streaming auf Endpunkte.

Microsoft 365 and Microsoft Entra-Aktivitätsprotokolle teilen sich viele Verzeichnisressourcen. Wenn Sie einen vollständigen Überblick über die Microsoft 365-Aktivitätsprotokolle haben möchten, sollten Sie das Microsoft 365 Admin Center aufrufen, um Informationen zum Office 365-Aktivitätsprotokoll zu erhalten. Die APIs für Microsoft 365 werden in der Übersicht über die Office 365-Verwaltungs-APIs beschrieben.

Mehrere Faktoren bestimmen die Anzahl der Protokolle, die Sie aus dem Microsoft Entra Admin Center herunterladen können, z. B. Arbeitsspeichergröße des Browsers, Netzwerkgeschwindigkeiten und die Auslastung der Microsoft Entra-Berichterstellungs-APIs. Im Allgemeinen funktionieren Datensätze, die kleiner als 250.000 für Überwachungsprotokolle und 100.000 für Anmelde- und Bereitstellungsprotokolle sind, gut mit der Browser-Download-Funktion. Je nachdem, wie viele Felder Sie eingeschlossen haben, kann diese Zahl variieren. Wenn Probleme beim Abschließen großer Downloads im Browser auftreten, sollten Sie die Berichterstellungs-API verwenden, um die Daten herunterzuladen, oder die Protokolle über Diagnoseeinstellungen an einen Endpunkt senden.

Die aktiven Filter im Microsoft Entra Admin Center beim Beginn des Downloads bestimmen den spezifischen Satz von Protokollen, die Sie herunterladen können. Beispielsweise bedeutet das Filtern nach einem bestimmten Benutzer im Microsoft Entra Admin Center, dass Ihr Download Protokolle für diesen bestimmten Benutzer abruft. Die Spalten in den heruntergeladenen Protokollen ändern sich nicht. Die Ausgabe enthält alle Details des Überwachungs- oder Anmeldeprotokolls, unabhängig von den Spalten, die Sie im Microsoft Entra Admin Center angepasst haben.

Je nach Lizenz speichert Microsoft Entra ID Aktivitätsprotokolle zwischen 7 und 30 Tagen. Weitere Informationen finden Sie unter Microsoft Entra-Aufbewahrungsrichtlinien für Berichte.

Derzeit gibt es in den Überwachungsprotokollen keine bestimmte Aktivität für Lizenzkäufe oder -aktivierungen. Möglicherweise können Sie jedoch die Aktivität „Onboarding der Ressource in PIM durchführen“ in der Kategorie „Ressourcenverwaltung“ mit dem Kauf oder der Aktivierung einer Lizenz korrelieren. Es ist möglich, dass diese Aktivität nicht immer verfügbar ist oder nicht die genauen Details liefert.

Die signInActivity-Ressource wird verwendet, um nach inaktiven Benutzern zu suchen, die sich seit einiger Zeit nicht mehr angemeldet haben. Die Aktualisierung erfolgt nicht in Quasi-Echtzeit. Wenn Sie die letzte Anmeldeaktivität des Benutzers schneller finden müssen, können Sie die Microsoft Entra-Anmeldeprotokolle verwenden, um die Anmeldeaktivitäten für alle Benutzer in Quasi-Echtzeit anzuzeigen.

Die CSV enthält Anmeldeprotokolle für den von Ihnen ausgewählten Anmeldetyp. Daten, die als geschachteltes Array in der Microsoft Graph-API für Anmeldeprotokolle dargestellt werden, sind nicht in CSV-Downloads enthalten. Richtlinien für bedingten Zugriff und „Nur Melden“-Informationen sind beispielsweise nicht enthalten. Wenn Sie alle in Ihren Anmeldeprotokollen enthaltenen Informationen exportieren müssen, verwenden Sie das Dateneinstellungen exportieren Feature.

Es ist auch wichtig zu beachten, dass sich die Spalten, die in den heruntergeladenen Protokollen enthalten sind, nicht ändern, auch wenn Sie die Spalten im Microsoft Entra Admin Center angepasst haben.

Die Microsoft Entra-ID ist möglicherweise teil eines Anmeldeprotokolls, um die Privatsphäre der Benutzer in den folgenden Szenarien zu schützen:

• Bei mandantenübergreifenden Anmeldungen, z. B. wenn sich ein CSP-Techniker bei einem Mandanten anmeldet, den CSP verwaltet.
• Wenn unser Dienst die Identität des Benutzers nicht mit ausreichender Zuverlässigkeit ermitteln konnte, um sicherzustellen, dass der Benutzer zum Mandanten gehört, der die Protokolle anzeigt.
• Microsoft Entra ID redigiert personenbezogene Informationen (Personally Identifiable Information, PII), die von Geräten generiert werden, die nicht zu Ihrem Mandanten gehören, um den Schutz der Kundendaten zu gewährleisten. PII werden ohne Zustimmung der Benutzer und Datenbesitzer nicht über die Grenzen des Mandanten hinaus verbreitet.

Anmeldeeinträge können in Ihren Protokollen aus verschiedenen Gründen dupliziert werden.

• Wenn bei einer Anmeldung ein Risiko identifiziert wird, wird unmittelbar danach ein weiteres, fast identisches Ereignis mit eingeschlossenem Risiko veröffentlicht.
• Wenn MFA-Ereignisse im Zusammenhang mit einer Anmeldung empfangen werden, werden alle verknüpften Ereignisse mit der ursprünglichen Anmeldung aggregiert.
• Wenn bei der Partnerveröffentlichung für ein Anmeldeereignis ein Fehler auftritt, etwa beim Veröffentlichen in Kusto, wird ein ganzer Batch an Ereignissen wiederholt und nochmals veröffentlicht, was zu Duplikaten führen kann.
• Anmeldeereignisse, die mehrere Richtlinien für bedingten Zugriff umfassen, werden möglicherweise in mehrere Ereignisse unterteilt, was zu mindestens zwei Ereignissen pro Anmeldeereignis führen kann.

Das Feld „TimeGenerated“ in Log Analytics ist der Zeitpunkt, zu dem der Eintrag von Log Analytics empfangen und veröffentlicht wurde. Denken Sie daran, dass Sie Diagnoseeinstellungen konfigurieren müssen, um die Protokolle an den Log Analytics-Arbeitsbereich zu senden, damit Ihre Protokolle in Log Analytics angezeigt werden. Dieser Vorgang nimmt Zeit in Anspruch, sodass das Feld „TimeGenerated“ möglicherweise nicht mit der tatsächlichen Uhrzeit der Anmeldung übereinstimmt.

Um die Übereinstimmung von Datum und Uhrzeit mit der Anmeldung zu bestätigen, suchen Sie in den Log Analytics-Ergebnissen nach dem Feld CreatedDateTime etwas weiter unten. Die AuthenticationDetails-Felder können auch erweitert werden, um die genaue Uhrzeit der Anmeldung anzuzeigen. Die Uhrzeit in Log Analytics wird in UTC angezeigt, aber die Uhrzeit in den Anmeldeprotokollen im Microsoft Entra Admin Center wird in der Ortszeit angezeigt, sodass Sie möglicherweise eine Anpassung vornehmen müssen.

Riskante Anmeldeereignisse weisen auch eine andere TimeGenerated-Zeit als die tatsächliche Anmeldezeit auf. Die TimeGenerated-Zeit für riskante Anmeldungen ist der Zeitpunkt, zu dem das Risiko erkannt wurde, nicht die Uhrzeit der Anmeldung. Überprüfen Sie das riskante Anmeldeereignis selbst auf die Aktivitätszeit, bei der es sich um die tatsächliche Uhrzeit der Anmeldung handelt.

Nicht interaktive Anmeldungen können jede Stunde große Mengen an Ereignissen auslösen. Daher werden sie in den Protokollen gruppiert.

In vielen Fällen haben nicht interaktive Anmeldungen alle die gleichen Merkmale und unterscheiden sich nur beim Datum und der Uhrzeit der Anmeldung. Wenn das Zeitaggregat auf 24 Stunden festgelegt ist, sieht es in den Protokollen so aus, als würden die Anmeldungen zur gleichen Zeit angezeigt. Jede dieser gruppierten Zeilen kann erweitert werden, um den genauen Zeitstempel anzuzeigen.

Es gibt mehrere Gründe, warum Anmeldeeinträge Benutzer-IDs, Objekt-IDs oder GUIDs im Benutzernamenfeld anzeigen können.

• Bei der kennwortlosen Authentifizierung werden Benutzer-IDs als Benutzername angezeigt. Sehen Sie sich die Details des betreffenden Anmeldeereignisses an, um dieses Szenario zu bestätigen. Im Feld authenticationDetail wird passwordless angezeigt.
• Der Benutzer hat sich authentifiziert, aber noch nicht angemeldet. Zur Bestätigung: Es gibt einen Fehlercode 50058, der mit einem Interrupt korreliert.
• Wenn das Benutzernamenfeld 000000-00000-0000-0000 oder etwas ähnliches anzeigt, könnte es Mandanteneinschränkungen geben, die verhindern, dass sich der Benutzer beim ausgewählten Mandanten anmeldet.
• Anmeldeversuche mit Multi-Faktor-Authentifizierung werden mit mehreren Dateneinträgen aggregiert, was möglicherweise länger braucht, um richtig angezeigt zu werden. Daten können bis zu zwei Stunden benötigen, bis sie vollständig aggregiert werden, es dauert jedoch selten so lange.

Nein, im Allgemeinen werden 90025-Fehler durch einen automatischen Wiederholungsversuch behoben, ohne dass der Benutzer den Fehler feststellt. Dieser Fehler kann auftreten, wenn ein interner Microsoft Entra-Unterdienst seine Wiederholungszuteilung erreicht und nicht darauf hinweist, dass Ihr Mandant gedrosselt wird. Diese Fehler werden in der Regel durch Microsoft Entra ID intern behoben. Wenn sich der Benutzer aufgrund dieses Fehlers nicht anmelden kann, sollte das Problem durch einen erneuten manuellen Versuch behoben werden.

Wenn die Dienstprinzipal-ID den Wert „0000000-0000-0000-0000-000000000000“ aufweist, gibt es keinen Dienstprinzipal für die Clientanwendung in dieser Instanz der Authentifizierung. Microsoft Entra stellt keine Zugriffstoken mehr ohne clientseitigen Dienstprinzipal aus, mit Ausnahme einiger Microsoft- und Nicht-Microsoft-Anwendungen.

Wenn die Dienstprinzipal-ID der Ressource den Wert „0000000-0000-0000-0000-000000000000“ aufweist, dann gibt es keinen Dienstprinzipal für die Ressourcenanwendung in dieser Instanz der Authentifizierung.

Dieses Verhalten ist derzeit nur für eine begrenzte Anzahl von Ressourcen-Apps zulässig.

Sie können die Instanzen der Authentifizierung ohne Client- oder Ressourcendienstprinzipal in Ihrem Mandanten abfragen.

• Verwenden Sie die folgende Abfrage, um nach Instanzen von Anmeldeprotokollen für Ihren Mandanten zu suchen, in denen ein Clientdienstprinzipal fehlt:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Verwenden Sie die folgende Abfrage, um nach Instanzen von Anmeldeprotokollen für Ihren Mandanten zu suchen, in denen ein Ressourcendienstprinzipal fehlt:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Sie finden diese Anmeldeprotokolle auch im Microsoft Entra-Admin Center.

• Melden Sie sich beim Microsoft Entra Admin Center an.
• Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
• Wählen Sie Dienstprinzipalanmeldungen aus.
• Wählen Sie im Feld „Datum“ einen geeigneten Zeitrahmen aus (letzte 24 Stunden, 7 Tage usw.).
• Fügen Sie einen Filter hinzu, wählen Sie Dienstprinzipal-ID aus, und geben Sie den Wert „00000000-0000-0000-0000-000000000000“ an, um Instanzen der Authentifizierung ohne Clientdienstprinzipal abzurufen.

Wenn Sie steuern möchten, wie die Authentifizierung in Ihrem Mandanten für bestimmte Client- oder Ressourcen-Apps funktioniert, folgen Sie den Anweisungen im Artikel Einschränken von Microsoft Entra-Apps auf eine Gruppe von Benutzern.

Einige nicht interaktive Anmeldungen wurden verfügbar gemacht, bevor die nicht interaktiven Anmeldeprotokolle in der öffentlichen Vorschau verfügbar waren. Diese nicht interaktiven Anmeldungen wurden in die interaktiven Anmeldeprotokolle aufgenommen und blieben in diesen Protokollen, auch nachdem die nicht interaktiven Protokolle verfügbar wurden. Anmeldungen mit den FIDO2-Schlüsseln sind ein Beispiel für nicht interaktive Anmeldungen, die in den interaktiven Anmeldeprotokollen angezeigt werden. Zu diesem Zeitpunkt werden diese nicht-interaktiven Protokolle immer in das interaktive Anmeldeprotokoll aufgenommen.

Sie können die API für Identity Protection-Risikoerkennungen für den Zugriff auf Sicherheitserkennungen über Microsoft Graph verwenden. Diese API umfasst eine erweiterte Filterung und Feldauswahl und standardisiert Risikoerkennungen in einem Typ, um die Integration in SIEM-Systeme und andere Tools zur Datensammlung zu erleichtern.

Sie können Probleme mit Richtlinien für den bedingten Zugriff über alle Anmeldeprotokolle behandeln. Überprüfen Sie den Status des bedingten Zugriffs, und untersuchen Sie die Details der Richtlinien, die auf die Anmeldung angewendet wurden, sowie das Ergebnis für jede Richtlinie.

Erste Schritte:

• Melden Sie sich beim Microsoft Entra Admin Center an.
• Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
• Wählen Sie die Anmeldung für die Problembehandlung.
• Wählen Sie die Registerkarte Bedingter Zugriff aus, um alle Richtlinien anzuzeigen, die die Anmeldung betreffen, und das Ergebnis der einzelnen Richtlinien.

Der Status des bedingten Zugriffs kann folgende Werte aufweisen:

• Nicht angewendet: Es ist keine Richtlinie für bedingten Zugriff für den Benutzer und die App vorhanden.
• Erfolg: Auf den Benutzer und die App wurde eine Richtlinie für bedingten Zugriff angewendet und erfolgreich umgesetzt.
• Fehler: Die Anmeldung hat zwar die Benutzer- und Anwendungsbedingung mindestens einer Richtlinie für bedingten Zugriff erfüllt, die Gewährungssteuerelemente wurden jedoch nicht erfüllt oder sind auf Blockieren des Zugriffs eingestellt.

Eine Richtlinie für bedingten Zugriff kann die folgenden Ergebnisse liefern:

• Erfolg: Die Richtlinie wurde erfüllt.
• Fehler: Die Richtlinie wurde nicht erfolgreich umgesetzt.
• Nicht angewendet: Die Richtlinienbedingungen wurden möglicherweise nicht erfüllt.
• Nicht aktiviert: Die Richtlinie ist möglicherweise in einem deaktivierten Zustand.

Der Richtlinienname im Anmeldeprotokoll basiert auf dem Namen der Richtlinie für den bedingten Zugriff zum Anmeldezeitpunkt. Der Name stimmt möglicherweise nicht mit dem Richtliniennamen im bedingten Zugriff überein, wenn Sie den Richtliniennamen nach der Anmeldung aktualisiert haben.

Das Anmeldeprotokoll enthält aktuell möglicherweise keine genauen Ergebnisse für Exchange ActiveSync-Szenarios, wenn bedingter Zugriff verwendet wird. Es kann vorkommen, dass das Anmeldeergebnis im Bericht eine erfolgreiche Anmeldung anzeigt, die Anmeldung aber in Wirklichkeit aufgrund einer Richtlinie fehlgeschlagen ist.

Richtlinien für bedingten Zugriff gelten nicht für die Windows-Anmeldung oder Windows Hello for Business. Richtlinien für bedingten Zugriff schützen Anmeldeversuche bei Cloudressourcen, nicht den Windows-Anmeldevorgang.

In der API-Referenz finden Sie Informationen dazu, wie Sie mit den APIs auf Aktivitätsprotokolle zugreifen. Dieser Endpunkt verfügt über zwei Berichte (Überwachung und Anmeldungen), die alle Daten des alten API-Endpunkts enthalten. Dieser neue Endpunkt verfügt auch über einen Bericht zu Anmeldeaktivitäten für die Microsoft Entra ID P1 oder P2-Lizenz, über den Sie Informationen zur App-Nutzung, Gerätenutzung und Benutzeranmeldung abrufen können.

Sie können die API für Identity Protection-Risikoerkennungen für den Zugriff auf Sicherheitserkennungen über Microsoft Graph verwenden. Dieses neue Format bietet mehr Flexibilität beim Abfragen von Daten. Das Format bietet erweiterte Filtermöglichkeiten und die Feldauswahl, und es standardisiert Risikoerkennungen in einen Typ zur einfacheren Integration mit SIEM-Systemen und anderen Datensammlungstools. Da die Daten in einem anderen Format vorliegen, können Sie Ihre alten Abfragen nicht durch eine neue Abfrage ersetzen. Allerdings verwendet die neue API Microsoft Graph, den Microsoft-Standard für diese APIs wie Microsoft 365 oder Microsoft Entra ID. So können Sie entweder Ihre aktuellen Microsoft Graph-Investitionen erweitern oder die Umstellung auf diese neue Standardplattform beginnen.

Möglicherweise müssen Sie sich bei Microsoft Graph unabhängig vom Microsoft Entra-Admin Center anmelden. Wählen Sie in der oberen rechten Ecke Ihr Profilsymbol aus, und melden Sie sich beim entsprechenden Verzeichnis an. Möglicherweise versuchen Sie, eine Abfrage auszuführen, für die Sie nicht über die erforderlichen Berechtigungen verfügen. Wählen Sie Berechtigungen ändern aus, und wählen Sie dann die Schaltfläche Einwilligen aus. Folgen Sie den Anmeldeaufforderungen.

Jedes Mal, wenn ein Token zum Aufrufen eines Microsoft Graph-Endpunkts verwendet wird, werden die MicrosoftGraphActivityLogs mit diesem Aufruf aktualisiert. Einige dieser Aufrufe sind Erstanbieteraufrufe nur über die App, die nicht in den Anmeldeprotokollen des Dienstprinzipals veröffentlicht werden. Wenn ein MicrosoftGraphActivityLogs einen uniqueTokenIdentifier anzeigt, den Sie in den Anmeldeprotokollen nicht finden können, verweist der Tokenbezeichner auf ein Erstanbietertoken nur für Apps.

Wenn der Dienst eine Aktivität im Zusammenhang mit dieser Empfehlung für etwas entdeckt, das als „abgeschlossen“ markiert ist, wechselt er automatisch zurück zu „aktiv“.