Was sind gekennzeichnete Anmeldungen in Microsoft Entra ID?

  • Artikel

Wenn sich ein Benutzer nicht anmelden konnte, sollten Sie als IT-Administrator das Problem schnellstmöglich beheben, um die Blockierung des Benutzers aufzuheben. Aufgrund der Menge an verfügbaren Daten im Anmeldeprotokoll ist die Suche nach den richtigen Informationen unter Umständen nicht ganz einfach.

Dieser Artikel enthält eine Übersicht über ein Feature, das die Suche nach den entsprechenden Problemen vereinfacht und somit dafür sorgt, dass sich Probleme bei der Benutzeranmeldung deutlich schneller lösen lassen.

Worum handelt es sich bei gekennzeichneten Anmeldungen?

Anhand von Microsoft Entra-Anmeldeereignissen lässt sich nachvollziehen, was bei Benutzeranmeldungen und bei der Authentifizierungskonfiguration in einem Mandanten funktioniert hat und was nicht. Von Microsoft Entra ID werden allerdings täglich mehr als acht Milliarden Authentifizierungen verarbeitet, sodass es für Administratoren aufgrund der hohen Anzahl von Anmeldeereignissen schwierig sein kann, die relevanten Ereignisse zu finden. Mit anderen Worten: Die schiere Anzahl von Anmeldeereignissen kann dazu führen, dass das Signal von Benutzern, die Unterstützung benötigen, in der Masse der Ereignisse untergeht.

Gekennzeichnete Anmeldungen dienen dazu, das Signal-Rausch-Verhältnis für Benutzeranmeldungen mit Unterstützungsbedarf zu erhöhen. Die Funktionalität soll es Benutzern ermöglichen, das Bewusstsein für Anmeldefehler zu erhöhen, bei denen sie Hilfe benötigen. Administratoren und Helpdesk-Mitarbeiter profitieren ebenfalls davon, die richtigen Ereignisse effizienter zu finden. Neben den üblichen Informationen von Anmeldeereignissen enthalten gekennzeichnete Anmeldeereignisse zusätzlich die Angabe, dass ein Benutzer das Ereignis zur Überprüfung durch Administratoren gekennzeichnet hat.

Gekennzeichnete Anmeldungen geben Benutzer*innen die Möglichkeit, die Kennzeichnung zu aktivieren, wenn auf einer Anmeldeseite ein Fehler auftritt, und diesen Fehler anschließend zu reproduzieren. Das Fehlerereignis wird dann im Microsoft Entra-Anmeldeprotokoll als „Zur Überprüfung gekennzeichnet“ angezeigt.

Gekennzeichnete Anmeldungen haben also folgende Vorteile:

  • Benutzer können Anmeldefehler melden, bei denen sie Unterstützung von ihren Mandantenadministratoren benötigen.

  • Die Suche nach den Anmeldefehlern, die für einen Benutzer behoben werden müssen, wird vereinfacht.

  • Helpdeskmitarbeiter können proaktiv nach den Problemen suchen, bei denen Benutzer Unterstützung benötigen. Endbenutzer müssen lediglich das Ereignis kennzeichnen.

Funktionsweise

Gekennzeichnete Anmeldungen ermöglichen die Aktivierung der Kennzeichnung, wenn bei der Anmeldung über einen Browser ein Authentifizierungsfehler auftritt. Wenn einem Benutzer ein Anmeldefehler angezeigt wird, kann er die Kennzeichnung aktivieren. In den nächsten 20 Minuten wird für jedes Anmeldeereignis dieses Benutzers, bei dem der gleiche Browser und das gleiche Clientgerät bzw. der gleiche Computer verwendet wird, im Anmeldebericht „Zur Überprüfung gekennzeichnet: Ja“ angezeigt. Nach 20 Minuten wird die Kennzeichnung automatisch wieder deaktiviert.

Benutzer: Kennzeichnen eines Fehlers

  1. Der Benutzer erhält während der Anmeldung einen Fehler.
  2. Der Benutzer wählt Details anzeigen auf der Fehlerseite aus.
  3. Wählen Sie in den Details zur Problembehandlung die Option Kennzeichnung aktivieren aus. Der Text ändert sich in Kennzeichnung deaktivieren. Die Kennzeichnung ist nun aktiviert.
  4. Schließen Sie das Browserfenster.
  5. Öffnen Sie ein neues Browserfenster (in der gleichen Browseranwendung) und führen Sie die nicht erfolgreiche Anmeldung erneut durch.
  6. Reproduzieren Sie den zuvor aufgetretenen Anmeldefehler.

Bei aktivierter Kennzeichnung müssen dieselbe Browseranwendung und derselbe Client verwendet werden, da sonst die Ereignisse nicht gekennzeichnet werden.

Administrator: Suchen nach gekennzeichneten Ereignissen in Berichten

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
  2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
  3. Öffnen Sie das Menü Filter hinzufügen, und wählen Sie Zur Überprüfung gekennzeichnet aus. Daraufhin werden alle Ereignisse angezeigt, die von Benutzern gekennzeichnet wurden.
  4. Wenden Sie bei Bedarf weitere Filter an, um die Ereignisansicht weiter einzugrenzen.
  5. Wählen Sie das Ereignis aus, um zu überprüfen, was passiert ist.

Administrator oder Entwickler: Suchen nach gekennzeichneten Ereignissen mithilfe von MS Graph

Sie können die Meldungs-API für Anmeldungen mit einer gefilterten Abfrage verwenden, um gekennzeichnete Anmeldungen zu finden.

Alle gekennzeichneten Anmeldungen anzeigen: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

Abfragen gekennzeichneter Anmeldungen für bestimmte Benutzer nach UPN (zum Beispiel: user@contoso.com): https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Abfragen gekennzeichneter Anmeldungen für bestimmte Benutzer und ein Datum größer als: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Weitere Informationen zur Verwendung der Graph-API für Anmeldungen finden Sie unter signIn-Ressourcentyp.

Wer kann gekennzeichnete Anmeldungen erstellen?

Jeder Benutzer, der sich per Webseite bei Microsoft Entra ID anmeldet, kann Anmeldungen zur Überprüfung kennzeichnen. Mitglieds- und Gastbenutzer können Anmeldefehler zur Überprüfung kennzeichnen.

Wer kann gekennzeichnete Anmeldungen überprüfen?

Für die Überprüfung gekennzeichneter Anmeldeereignisse sind Berechtigungen zum Lesen der Anmeldeberichtsereignisse im Azure-Portal erforderlich. Weitere Informationen finden Sie unter Zugreifen auf Aktivitätsprotokolle.

Zum Kennzeichnen von Anmeldefehlern sind keine zusätzlichen Berechtigungen erforderlich.

Wichtige Informationen

Gekennzeichnete Anmeldungen und Risikoanmeldungen heißen zwar ähnlich, sind aber unterschiedliche Funktionen:

  • Gekennzeichnete Anmeldungen sind Anmeldefehlerereignisse, für die Benutzer um Unterstützung bitten.
  • Eine Risikoanmeldung ist eine Identity Protection-Funktion. Weitere Informationen finden Sie unter Was ist Identity Protection?.

Nächste Schritte