Anzeigen von Aktivitäten und des Überwachungsverlaufs für Azure-Ressourcenrollen in Privileged Identity Management

  • Artikel

Mit Privileged Identity Management (PIM) in Microsoft Entra ID können Sie Aktivitäten, Aktivierungen und den Überwachungsverlauf für Azure-Ressourcenrollen in Ihrer Organisation anzeigen. Dies schließt Abonnements, Ressourcengruppen und sogar virtuelle Computer ein. Alle Ressourcen im Microsoft Entra Admin Center, welche die Azure-Funktionalität für die rollenbasierte Zugriffssteuerung nutzen, können von den Sicherheits- und Lebenszyklusverwaltungsfunktionen von Privileged Identity Management profitieren. Wenn Sie Überwachungsdaten länger als den Standardaufbewahrungszeitraum beibehalten möchten, können Sie Azure Monitor verwenden, um sie an ein Azure-Speicherkonto weiterzuleiten. Weitere Informationen finden Sie unter Archivieren von Microsoft Entra-Protokollen in einem Azure-Speicherkonto.

Hinweis

Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der die Azure Lighthouse verwendet, werden die von diesem Dienstanbieter autorisierten Rollenzuweisungen hier nicht angezeigt.

Anzeigen von Aktivitäten und Aktivierungen

Um zu sehen, welche Aktionen ein bestimmter Benutzer für verschiedene Ressourcen ausgeführt hat, können Sie die Azure-Ressourcenaktivität für einen bestimmten Aktivierungszeitraum anzeigen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie Aktivitäten und Aktivierungen anzeigen möchten.

  4. Wählen Sie Rollen oder Mitglieder aus.

  5. Wählen Sie einen Benutzer aus.

    Daraufhin wird eine nach Datum aufgeschlüsselte Zusammenfassung mit den Aktionen des Benutzers in den Azure-Ressourcen angezeigt. Außerdem sind die letzten Rollenaktivierungen im selben Zeitraum zu sehen.

    Screenshot: Benutzerdetails mit Zusammenfassung zur Ressourcenaktivität und Rollenaktivierungen

  6. Wählen Sie eine bestimmte Rollenaktivierung aus, um Details und die entsprechende Azure-Ressourcenaktivität anzuzeigen, die aufgetreten ist, während dieser Benutzer aktiv war.

    Screenshot: Ausgewählte Rollenaktivierung und Aktivitätsdetails

Exportieren von Rollenzuweisungen mit untergeordneten Elementen

Angenommen, Sie müssen Prüfern aus Konformitätsgründen eine vollständige Liste mit allen Rollenzuweisungen zur Verfügung stellen. Mit Privileged Identity Management können Sie Rollenzuweisungen für eine bestimmte Ressource einschließlich der Rollenzuweisungen für alle untergeordneten Ressourcen abfragen. In der Vergangenheit war es für Administratoren nicht ganz einfach, eine vollständige Liste mit den Rollenzuweisungen für ein Abonnement zu erhalten, und die Rollenzuweisungen mussten für jede spezifische Ressource exportiert werden. Mit Privileged Identity Management können Sie alle aktiven und geeigneten Rollenzuweisungen in einem Abonnement einschließlich der Rollenzuweisungen für alle Ressourcengruppen und Ressourcen abfragen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie Rollenzuweisungen exportieren möchten (beispielsweise ein Abonnement).

  4. Klicken Sie auf Zuweisungen.

  5. Wählen Sie Exportieren aus, um den Bereich „Mitgliedschaft exportieren“ zu öffnen.

    Screenshot: Bereich „Mitgliedschaft exportieren“ zum Exportieren aller Mitglieder

  6. Wählen Sie Alle Mitglieder exportieren aus, um alle Rollenzuweisungen in einer CSV-Datei zu exportieren.

    Screenshot: Exportierte Rollenzuweisungen in CSV-Datei wie in Excel angezeigt

Anzeigen des Ressourcenüberwachungsverlaufs

Die Ressourcenüberwachung bietet einen Überblick über alle Rollenaktivitäten für eine Ressource.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.

  4. Wählen Sie Ressourcenüberwachung aus.

  5. Filtern Sie den Verlauf mithilfe eines vordefinierten Datums oder benutzerdefinierten Bereichs.

    Screenshot: Ressourcenüberwachungsliste mit Filtern

  6. Wählen Sie unter Überwachungstyp die Option Aktivieren (zugewiesen und aktiviert) aus.

    Screenshot: Nach Überwachungstyp „Aktivieren“ gefilterte Ressourcenüberwachungsliste

  7. Wählen Sie unter Aktiondie Option (Aktivität) für einen Benutzer aus, um die Aktivitätsdetails dieses Benutzers in Azure-Ressourcen anzuzeigen.

    Screenshot: Benutzeraktivitätsdetails für eine bestimmte Aktion

Anzeigen der eigenen Überwachung

In der eigenen Überwachung können Sie Ihre persönliche Rollenaktivität anzeigen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie die Ressource aus, für die Sie den Überwachungsverlauf anzeigen möchten.

  4. Wählen Sie Meine Überwachung aus.

  5. Filtern Sie den Verlauf nach einem vordefinierten Datum oder nach einem benutzerdefinierten Bereich.

    Screenshot: Überwachungsliste für den aktuellen Benutzer

Hinweis

Der Zugriff auf den Überwachungsverlauf erfordert eine der Rollen „Globaler Administrator“ oder „Administrator für privilegierte Rollen“.

Abrufen von Grund, genehmigender Person und Ticketnummer für Genehmigungsereignisse

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Browsen Sie zu Identität>Überwachung & Integrität>Überwachungsprotokolle.

  3. Verwenden Sie den Filter Dienst, um lediglich Überwachungsereignisse für den Dienst Privileged Identity Management anzuzeigen. Auf der Seite Überwachungsprotokoll haben Sie folgende Möglichkeiten:

    • Zeigen Sie Gründe für ein Überwachungsereignis in der Spalte Statusursache an.
    • Zeigen Sie die genehmigenden Person in der Spalte Initiiert von (Akteur) für das Ereignis „Anforderung zum Hinzufügen von Mitglied zur Rolle genehmigt“ an.

    Screenshot: Filtern des Überwachungsprotokolls nach dem PIM-Dienst

  4. Wählen Sie ein Überwachungsprotokollereignis aus, um die Ticketnummer auf der Registerkarte Aktivität im Detailbereich anzuzeigen.

    Screenshot: Ticketnummer für das Überwachungsereignis

  5. Sie können den Anforderer (Person, die die Rolle aktiviert) auf der Registerkarte Ziele im Detailbereich für ein Überwachungsereignis anzeigen. Es gibt drei Zieltypen für Azure-Ressourcenrollen:

    • Die Rolle (Typ = Rolle)
    • Den Anforderer (Typ = Andere)
    • Die genehmigende Person (Typ = Benutzer)

    Screenshot: Überprüfen des Zieltyps

In der Regel ist das Protokollereignis direkt oberhalb des Genehmigungsereignisses ein Ereignis für die Funktion „Hinzufügen von Mitglied zur Rolle abgeschlossen“, wobei unter Initiiert von (Akteur) der Anforderer steht. In den meisten Fällen ist es für die Überwachung nicht erforderlich, die anfordernde Person in der Genehmigungsanforderung zu ermitteln.

Nächste Schritte