Anzeigen der angewendeten Richtlinien für bedingten Zugriff in den Microsoft Entra-Anmeldeprotokollen

Mit Richtlinien für bedingten Zugriff können Sie steuern, wie Ihre Benutzer Zugriff auf die Ressourcen Ihres Azure-Mandanten erhalten. Als Mandantenadministrator müssen Sie feststellen können, welche Auswirkungen Ihre Richtlinien für bedingten Zugriff auf Anmeldungen bei Ihrem Mandanten haben, damit Sie bei Bedarf Maßnahmen ergreifen können.

Die Anmeldeprotokolle in Microsoft Entra ID enthalten die Informationen, die Sie benötigen, um die Auswirkungen Ihrer Richtlinien bewerten zu können. In diesem Artikel wird erläutert, wie angewendete Richtlinien für bedingten Zugriff in diesen Protokollen angezeigt werden.

Voraussetzungen

Damit Administratoren die angewendeten Richtlinien für bedingten Zugriff in den Anmeldeprotokollen anzeigen können, müssen sie über Berechtigungen zum Anzeigen sowohl der Protokolle als auch der Richtlinien verfügen. Die integrierte Rolle mit den geringsten Rechten, die beide Berechtigungen gewährt, heißt Sicherheitsleser. Als bewährte Methode sollte Ihr globaler Administrator den entsprechenden Administratorkonten die Rolle „Sicherheitsleser“ hinzufügen.

Die folgenden integrierten Rollen gewähren Berechtigungen zum Lesen von Richtlinien für bedingten Zugriff:

• Sicherheitsleseberechtigter
• Globaler Leser
• Sicherheitsadministrator
• Administrator für den bedingten Zugriff

Die folgenden integrierten Rollen gewähren die Berechtigung zum Anzeigen von Anmeldeprotokollen:

• Berichtleseberechtigter
• Sicherheitsleseberechtigter
• Globaler Leser
• Sicherheitsadministrator

Berechtigungen für Client-Apps

Wenn Sie mit einer Client-App Anmeldeprotokolle aus Microsoft Graph abrufen möchten, benötigt Ihre App Berechtigungen zum Empfangen der appliedConditionalAccessPolicy-Ressource aus Microsoft Graph. Als bewährte Methode sollten Sie Policy.Read.ConditionalAccess zuweisen, weil dies die Berechtigung mit den geringsten Rechten ist.

Jede der folgenden Berechtigungen reicht aus, damit eine Client-App über Microsoft Graph auf angewendete Richtlinien für bedingten Zugriff in den Anmeldeprotokollen zugreifen kann:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All

Berechtigungen für PowerShell

Wie jede andere Client-App benötigt das Microsoft Graph PowerShell-Modul Clientberechtigungen, um auf angewendete Richtlinien für bedingten Zugriff in den Anmeldeprotokollen zugreifen zu können. Damit die angewendeten Richtlinien für bedingten Zugriff in den Anmeldeprotokollen erfolgreich abgerufen werden können, müssen Sie mit Ihrem Administratorkonto für Microsoft Graph PowerShell den erforderlichen Berechtigungen zustimmen. Sie sollten Ihre Zustimmung für Folgendes erteilen:

• Policy.Read.ConditionalAccess
• AuditLog.Read.All
• Directory.Read.All

Die folgenden Berechtigungen sind diejenigen mit den geringsten Rechten, die den erforderlichen Zugriff ermöglichen:

• So stimmen Sie den erforderlichen Berechtigungen zu: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• So zeigen Sie die Anmeldeprotokolle an: Get-MgAuditLogSignIn

Weitere Informationen zu diesem Cmdlet finden Sie unter Get-MgAuditLogSignIn.

Szenarien für bedingten Zugriff und Anmeldeprotokoll

Als Microsoft Entra-Administrator können Sie die Anmeldeprotokolle für die folgenden Aufgaben verwenden:

• Beheben von Problemen bei der Anmeldung
• Überprüfen der Featureleistung
• Bewerten der Sicherheit eines Mandanten

In einigen Szenarien müssen Sie nachvollziehen können, wie Ihre Richtlinien für bedingten Zugriff auf ein Anmeldeereignis angewendet wurden. Häufige Beispiele sind:

• Helpdeskadministratoren, die sich die angewendeten Richtlinien für bedingten Zugriff ansehen müssen, um festzustellen, ob eine Richtlinie die Grundursache für ein von einem Benutzer geöffnetes Ticket ist

• Mandantenadministratoren, die überprüfen müssen, ob die Richtlinien für bedingten Zugriff die beabsichtigten Auswirkungen auf die Benutzer eines Mandanten haben.

Sie können das Microsoft Entra-Admin Center, Azure-Portal, Microsoft Graph und PowerShell verwenden, um auf die Anmeldeprotokolle zuzugreifen.

Anzeigen der Richtlinien für bedingten Zugriff in den Microsoft Entra-Anmeldeprotokollen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Die Aktivitätsdetails von Anmeldeprotokollen enthalten mehrere Registerkarten. Die Registerkarte Bedingter Zugriff listet die auf dieses Anmeldeereignis angewendeten Richtlinien für bedingten Zugriff auf.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
3. Wählen Sie in der Tabelle ein Anmeldeelement aus, um den Bereich Anmeldedetails anzuzeigen.
4. Wählen Sie die Registerkarte Bedingter Zugriff aus.

Wenn die Richtlinien für bedingten Zugriff nicht angezeigt werden, vergewissern Sie sich, dass Sie eine Rolle verwenden, die Zugriff sowohl auf die Anmeldeprotokolle als auch die Richtlinien für bedingten Zugriff bietet.

Nächste Schritte

• Fehlerbehebung bei Anmeldeproblemen bei bedingtem Zugriff
• Überprüfen der FAQs zu den Anmeldeprotokollen für bedingten Zugriff
• Weitere Informationen zu Anmeldeprotokollen