Anmeldeprotokolle in Azure Active Directory

Die Überprüfung von Anmeldefehlern und -mustern bietet wertvolle Erkenntnisse darüber, wie Ihre Benutzer auf Anwendungen und Dienste zugreifen. Die von Azure Active Directory (Azure AD) bereitgestellten Anmeldeprotokolle sind leistungsstarke Aktivitätsprotokolle, die von IT-Administratoren analysiert werden können. In diesem Artikel wird erläutert, wie Sie auf die Anmeldeprotokolle zugreifen und diese verwenden.

Es gibt noch zwei weitere Aktivitätsprotokolle, mit denen Sie die Integrität Ihres Mandanten überwachen können:

  • Überwachung: Informationen zu Änderungen, die auf Ihren Mandanten angewendet wurden, z. B. Benutzer- und Gruppenverwaltung oder Updates, die auf die Ressourcen Ihres Mandanten angewendet wurden.
  • Bereitstellung: Von einem Bereitstellungsdienst ausgeführte Aktivitäten, z. B. die Erstellung einer Gruppe in ServiceNow oder der Import eines Benutzers aus Workday.

Wozu können Sie Anmeldeprotokolle nutzen?

Im Anmeldeprotokoll finden Sie Antworten auf Fragen wie die folgenden:

  • Wie sieht das Anmeldemuster eines Benutzers aus?

  • Wie viele Benutzer haben sich im Laufe einer Woche angemeldet?

  • Wie lautet der Status dieser Anmeldungen?

Wie erfolgt der Zugriff auf die Anmeldeprotokolle?

Sie können jederzeit unter https://mysignins.microsoft.com auf Ihren eigenen Anmeldeverlauf zugreifen.

Für den Zugriff auf das Anmeldeprotokoll für einen Mandanten benötigen Sie eine der folgenden Rollen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter
  • Globaler Leser
  • Meldet Reader

Der Bericht mit den Anmeldeaktivitäten ist in allen Editionen von Azure AD verfügbar. Wenn Sie über eine Azure Active Directory P1- oder P2-Lizenz verfügen, können Sie über die Microsoft Graph-API auf den Bericht zur Anmeldeaktivität zugreifen. Unter Erste Schritte mit Azure Active Directory Premium erfahren Sie, wie Sie ein Upgrade für Ihre Azure Active Directory-Edition durchführen. Es wird ein paar Tage dauern, bis die Daten in Graph angezeigt werden, nachdem Sie auf eine Premiumlizenz umgestiegen sind und vor dem Upgrade keine Datenaktivitäten stattgefunden haben.

So greifen Sie auf das Azure AD-Anmeldeprotokoll zu:

  1. Melden Sie sich beim Azure-Portal mit einer geeigneten Rolle mit den Mindestberechtigungen an.

  2. Wechseln Sie zu Azure Active Directory>Anmeldeprotokoll.

    Screenshot: Seitenmenü „Überwachung“ mit hervorgehobenen Anmeldeprotokollen.

Sie können auch in den folgenden Bereichen von Azure AD auf die Anmeldeprotokolle zugreifen:

  • Benutzer
  • Gruppen
  • Unternehmensanwendungen

Anzeigen des Anmeldeprotokolls

Nehmen Sie sich einen Moment Zeit, um die Ansicht an Ihre Anforderungen anzupassen, damit Sie das Anmeldeprotokoll effektiver anzeigen können. Sie können angeben, welche Spalten eingeschlossen werden sollen, und die Daten filtern, um die Ansicht einzugrenzen.

Anpassen des Layouts

Das Anmeldeprotokoll verfügt über eine Standardansicht, aber Sie können die Ansicht mithilfe von über 30 Spaltenoptionen anpassen.

  1. Wählen Sie im Menü oben im Protokoll die Option Spalten aus.
  2. Wählen Sie die Spalten aus, die Sie anzeigen möchten, und wählen Sie dann unten im Fenster die Schaltfläche Speichern aus.

Screenshot: Seite „Anmeldeprotokolle“ mit hervorgehobener Option „Spalten“.

Filtern der Ergebnisse

Das Filtern des Anmeldeprotokolls ist eine effiziente Methode, um schnell nach Protokollen zu suchen, die einem bestimmten Szenario entsprechen. Beispielsweise können Sie die Liste so filtern, dass nur Anmeldungen an einem bestimmten geografischen Standort, von einem bestimmten Betriebssystem oder mit einem bestimmten Anmeldeinformationstyp angezeigt werden.

Bei einigen Filteroptionen werden Sie zur Auswahl weiterer Optionen aufgefordert. Folgen Sie den Eingabeaufforderungen, um die gewünschte Auswahl für den Filter zu treffen. Sie können mehrere Filter hinzufügen.

Wählen Sie oben in der Tabelle die Option Filter hinzufügen aus, um mit dem Konfigurieren des Filters zu beginnen.

Screenshot: Seite „Anmeldeprotokolle“ mit hervorgehobener Option „Filter hinzufügen“.

Es sind mehrere Filteroptionen verfügbar. Im Folgenden finden Sie einige wichtige Optionen und Details.

  • Benutzer: Der Benutzerprinzipalname (UPN) des jeweiligen Benutzers.
  • Status: Die Optionen sind Erfolgreich, Fehler und Unterbrochen.
  • Ressource: Der Name des Dienstes, der für die Anmeldung verwendet wird.
  • Bedingter Zugriff: Der Status der Richtlinie für bedingten Zugriff (CA). Folgende Optionen stehen zur Verfügung:
    • Nicht angewendet: Bei der Anmeldung betraf keine Richtlinie den Benutzer und die Anwendung.
    • Erfolgreich: Bei der Anmeldung betraf mindestens eine Richtlinie für bedingten Zugriff den Benutzer und die Anwendung (aber nicht unbedingt die anderen Bedingungen).
    • Fehler: Die Anmeldung hat die Benutzer- und Anwendungsbedingung mindestens einer Richtlinie für bedingten Zugriff erfüllt, die Bedingungen der Steuerelemente zur Rechteerteilung wurden jedoch nicht erfüllt oder sind auf Blockieren des Zugriffs eingestellt.
  • IP-Adressen: Es gibt keine definitive Verbindung zwischen einer IP-Adresse und dem physischen Standort des Computers mit dieser Adresse. Mobilfunkanbieter und VPNs weisen IP-Adressen aus zentralen Pools zu, die oft sehr weit von den Orten entfernt sind, an denen das Clientgerät eigentlich verwendet wird. Derzeit ist das Konvertieren der IP-Adresse in einen physischen Speicherort eine optimale Lösung, die auf Ablaufverfolgungen, Registrierungsdaten, Reverse-Lookups und anderen Informationen basiert.

Die folgende Tabelle enthält die Optionen für die Filteroption Client-App und Beschreibungen dieser Optionen.

Hinweis

Aufgrund von Datenschutzzusagen füllt Azure AD dieses Feld für den Basismandanten im Falle eines mandantenübergreifenden Szenarios nicht auf.

Name Moderne Authentifizierung BESCHREIBUNG
Authentifiziertes SMTP Wird von POP- und IMAP-Clients zum Senden von E-Mails verwendet.
AutoErmittlung Wird von Outlook- und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und eine Verbindung damit herzustellen.
Exchange ActiveSync Dieser Filter zeigt alle Anmeldeversuche, bei denen das EAS-Protokoll versucht wurde.
Browser Blaues Häkchen Zeigt alle Anmeldeversuche von Benutzern über Webbrowser
Exchange ActiveSync Zeigt alle Anmeldeversuche von Benutzern mit Client-Apps, die Exchange Active Sync zur Herstellung einer Verbindung mit Exchange Online verwenden
Exchange Online PowerShell Wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.
Exchange-Webdienste Eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wird.
IMAP4 Älterer E-Mail-Client, der IMAP zum Abrufen von E-Mails verwendet.
MAPI über HTTP Wird von Outlook 2010 und höher verwendet.
Mobile Apps und Desktop-Apps Blaues Häkchen Zeigt alle Anmeldeversuche von Benutzern mithilfe von mobilen Anwendungen und Desktopclients.
Offlineadressbuch Eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden.
Outlook Anywhere (RPC über HTTP) Wird bis Outlook 2016 verwendet.
Outlook-Dienst Wird von der Mail- und Kalender-App für Windows 10 verwendet.
POP3 Älterer E-Mail-Client, der POP3 zum Abrufen von E-Mails verwendet.
Reporting Web Services Wird zum Abrufen von Berichtsdaten in Exchange Online verwendet.
Andere Clients Zeigt alle Anmeldeversuche von Benutzern, bei denen die Client-App nicht enthalten oder unbekannt ist.

Analysieren der Anmeldeprotokolle

Nachdem Sie Ihre Anmeldeprotokolltabelle nun entsprechend Ihren Anforderungen formatiert haben, können Sie die Daten effektiver analysieren. Hier werden einige gängige Szenarien beschrieben, dies sind jedoch nicht die einzigen Möglichkeiten zum Analysieren von Anmeldedaten. Das Exportieren der Protokolle in andere Tools ermöglicht weitere Analysen und die Aufbewahrung von Anmeldedaten.

Anmeldefehlercodes

Wenn bei der Anmeldung ein Fehler aufgetreten ist, erhalten Sie weitere Informationen zur Ursache im Abschnitt Grundlegende Informationen des zugehörigen Protokollelements. Der Fehlercode und die zugehörige Fehlerursache werden in den Details angezeigt. Aufgrund der Komplexität einiger Azure AD-Umgebungen kann nicht jeder mögliche Fehlercode und jede Lösung dokumentiert werden. Bei einigen Fehlern müssen Sie zum Beheben des Problems möglicherweise eine Supportanfrage senden.

Screenshot: Anmeldefehlercode.

Eine Liste der Fehlercodes im Zusammenhang mit der Azure AD-Authentifizierung und -Autorisierung finden Sie im Artikel Fehlercodes für die Azure AD-Authentifizierung und -Autorisierung. In einigen Fällen bietet das Tool für die Suche nach Anmeldefehlern möglicherweise Problembehandlungsschritte. Geben Sie den in den Anmeldeprotokolldetails angezeigten Fehlercode in das Tool ein, und wählen Sie die Schaltfläche Senden aus.

Screenshot: Tool für die Suche nach Fehlercodes.

Authentifizierungsdetails

Die Registerkarte Authentifizierungsdetails in den Details eines Anmeldeprotokolls enthält die folgenden Informationen für jeden Authentifizierungsversuch:

  • Eine Liste der angewendeten Authentifizierungsrichtlinien (z. B. bedingter Zugriff oder Sicherheitsstandards).
  • Eine Liste der angewendeten Richtlinien für die Sitzungslebensdauer (z. B. Anmeldehäufigkeit oder MFA-Speicherung).
  • Die Abfolge der für die Anmeldung verwendeten Authentifizierungsmethoden.
  • Ob der Authentifizierungsversuch erfolgreich war und warum.

Mit diesen Informationen können Sie eine Problembehandlung für jeden Schritt bei der Anmeldung eines Benutzers durchführen. Verwenden Sie diese Details, um Folgendes nachzuverfolgen:

  • Die Anzahl von Anmeldungen, die durch die Multi-Faktor-Authentifizierung (MFA) geschützt sind.
  • Der Grund für die Authentifizierungsaufforderung basierend auf den Richtlinien für die Sitzungslebensdauer.
  • Nutzungs- und Erfolgsraten für jede Authentifizierungsmethode.
  • Verwendung kennwortloser Authentifizierungsmethoden, z. B. kennwortlose Anmeldung per Telefon, FIDO2 und Windows Hello for Business.
  • Häufigkeit der Erfüllung von Authentifizierungsanforderungen durch Tokenansprüche, z. B. Anmeldungen, bei denen Benutzer nicht interaktiv zur Eingabe eines Kennworts oder eines SMS-OTP aufgefordert werden.

Wählen Sie beim Anzeigen des Anmeldeprotokolls ein Anmeldeereignis und dann die Registerkarte Details zur Authentifizierung aus.

Screenshot der Registerkarte „Authentifizierungsdetails“

Beachten Sie beim Analysieren der Authentifizierungsdetails die folgenden Details:

  • Der OATH-Überprüfungscode wird sowohl für OATH-Hardware- als auch für Softwaretoken (z. B. die Microsoft Authenticator-App) als Authentifizierungsmethode protokolliert.
  • Auf der Registerkarte Details zur Authentifizierung können bis zur vollständigen Aggregation der Protokollinformationen zunächst unvollständige oder ungenaue Daten angezeigt werden. Bekannte Beispiele sind:
    • Eine Erfüllt durch Anspruch im Token-Meldung wird fälschlicherweise angezeigt, wenn Anmeldeereignisse anfänglich protokolliert werden.
    • Die Zeile Primäre Authentifizierung wird anfänglich nicht protokolliert.

Von anderen Diensten verwendete Anmeldedaten

Anmeldedaten werden von mehreren Diensten in Azure verwendet, um Risikoanmeldungen zu überwachen und Erkenntnisse zur Anwendungsnutzung bereitzustellen.

Daten zu Risikoanmeldungen in Azure AD Identity Protection

Anmeldeprotokolldaten im Zusammenhang mit Risikoanmeldungen können in der Übersicht von Azure AD Identity Protection visualisiert werden. Die Übersicht umfasst die folgenden Daten:

  • Riskante Benutzer
  • Anmeldungen von Risikobenutzern
  • Risikodienstprinzipale
  • Anmeldungen von Risikodienstprinzipalen

Weitere Informationen zu den Azure AD Identity Protection-Tools finden Sie in der Übersicht über Azure AD Identity Protection.

Screenshot: Risikobenutzer in Identity Protection.

Azure AD-Anwendungs- und Authentifizierungsanmeldeaktivität

Wechseln Sie zum Anzeigen anwendungsspezifischer Anmeldedaten zu Azure AD und wählen Sie im Abschnitt „Überwachung“ die Option Nutzung & Erkenntnisse aus. Diese Berichte bieten einen genaueren Einblick in Anmeldedaten für Azure AD-Anwendungsaktivitäten und AD FS-Anwendungsaktivitäten. Weitere Informationen finden Sie unter Nutzung & Erkenntnisse in Azure AD.

Screenshot: Bericht „Azure AD-Anwendungsaktivität“.

Azure AD Nutzung & Erkenntnisse umfasst auch den Bericht Authentifizierungsmethoden: Aktivität, in dem Authentifizierungen nach der verwendeten Methode aufgeschlüsselt sind. Verwenden Sie diesen Bericht, um festzustellen, für wie viele Ihrer Benutzer die Multi-Faktor-Authentifizierung oder kennwortlose Authentifizierung eingerichtet ist.

Screenshot: Bericht „Authentifizierungsmethoden“.

Microsoft 365-Aktivitätsprotokolle

Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Microsoft 365- und Azure AD-Aktivitätsprotokolle nutzen eine erhebliche Anzahl von Verzeichnisressourcen gemeinsam. Nur das Microsoft 365 Admin Center bietet eine vollständige Übersicht über die Microsoft 365-Aktivitätsprotokolle.

Mithilfe der Office 365-Verwaltungs-APIs können Sie programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen.

Nächste Schritte