Was sind Microsoft Entra-Anmeldeprotokolle?

  • Artikel

Microsoft Entra protokolliert alle Anmeldungen bei einem Azure-Mandanten, einschließlich Ihrer internen Apps und Ressourcen. Als IT-Administrator müssen Sie wissen, was die Werte in einem Anmeldeprotokoll bedeuten, damit Sie die Protokollwerte richtig interpretieren können.

Die Überprüfung von Anmeldefehlern und -mustern bietet wertvolle Erkenntnisse darüber, wie Ihre Benutzer auf Anwendungen und Dienste zugreifen. Die von Microsoft Entra ID bereitgestellten Anmeldeprotokolle sind leistungsstarke Aktivitätsprotokolle, die von Ihnen analysiert werden können. In diesem Artikel wird erläutert, wie Sie auf die Anmeldeprotokolle zugreifen und diese verwenden.

Die Vorschauansicht der Anmeldeprotokolle umfasst interaktive und nicht interaktive Benutzeranmeldungen sowie Anmeldungen von Dienstprinzipalen und verwalteten Identitäten. Sie können weiterhin die klassischen Anmeldeprotokolle anzeigen, die nur interaktive Anmeldungen enthalten.

Es gibt noch zwei weitere Aktivitätsprotokolle, mit denen Sie die Integrität Ihres Mandanten überwachen können:

  • Überwachung: Informationen zu Änderungen, die auf Ihren Mandanten angewendet wurden, z. B. Benutzer- und Gruppenverwaltung oder Updates, die auf die Ressourcen Ihres Mandanten angewendet wurden.
  • Bereitstellung: Von einem Bereitstellungsdienst ausgeführte Aktivitäten, z. B. die Erstellung einer Gruppe in ServiceNow oder der Import eines Benutzers aus Workday.

Lizenz- und Rollenanforderungen

Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

Protokoll/Bericht Rollen Lizenzen
Überwachung Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
 Alle Editionen von Microsoft Entra ID
Anmeldungen Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
 Alle Editionen von Microsoft Entra ID
Bereitstellung Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Globaler Leser
Sicherheitsoperator
Anwendungsadministrator
Cloud-App-Administrator*in
 Microsoft Entra ID P1 oder P2
Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* Attributprotokolladministrator
Attributprotokollleser		 Alle Editionen von Microsoft Entra ID
Nutzung und Erkenntnisse Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator		 Microsoft Entra ID P1 oder P2
Identitätsschutz** Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter
Globaler Leser
 Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 oder P2
Microsoft Graph-Aktivitätsprotokolle Sicherheitsadministrator
Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel		 Microsoft Entra ID P1 oder P2

*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.

**Die Zugriffsebene und die Funktionen für den Identitätsschutz variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für Identity Protection.

Wozu können Sie Anmeldeprotokolle nutzen?

Sie können anhand der Anmeldeprotokolle Fragen beantworten, z. B.:

  • Wie viele Benutzer*innen meldeten sich in dieser Woche bei einer bestimmten Anwendung an?
  • Wie viele Anmeldeversuche schlugen in den letzten 24 Stunden fehl?
  • Melden sich Benutzer*innen über bestimmte Browser oder Betriebssysteme an?
  • Auf welche meiner Azure-Ressourcen wurde von verwalteten Identitäten und Dienstprinzipalen zugegriffen?

Sie können auch die Aktivität beschreiben, die einer Anmeldeanforderung zugeordnet ist, indem Sie die folgenden Details angeben:

  • Wer: die Identität (Benutzer*in), die die Anmeldung ausführt
  • Wie: Der Client (Anwendung), der für die Anmeldung verwendet wird.
  • Was: das Ziel (Ressource), auf das von der Identität zugegriffen wird

Welche Typen von Anmeldeprotokollen gibt es?

In der Vorschauversion der Anmeldeprotokolle gibt es vier Typen von Protokollen:

  • Interaktive Benutzeranmeldungen
  • Nicht interaktive Benutzeranmeldungen
  • Dienstprinzipalanmeldungen
  • Anmeldungen verwalteter Identitäten

Die klassischen Anmeldeprotokolle enthalten nur interaktive Benutzeranmeldungen.

Hinweis

Einträge in den Anmeldeprotokollen werden vom System generiert und können nicht geändert oder gelöscht werden.

Interaktive Benutzeranmeldungen

Interaktive Anmeldungen werden von Benutzer*innen selbst ausgeführt. Sie geben einen Authentifizierungsfaktor für Microsoft Entra ID an. Dieser Authentifizierungsfaktor kann auch mit einem Hilfsprogramm wie der Microsoft Authenticator-App interagieren. Benutzer können Kennwörter, Antworten auf MFA-Abfragen, biometrische Faktoren oder QR-Codes für Microsoft Entra ID oder eine Hilfsanwendung angeben. Dieses Protokoll enthält auch Verbundanmeldungen von Identitätsanbietern, die im Verbund mit Microsoft Entra ID sind.

Screenshot of the interactive user sign-in log.

Berichtsgröße: Klein
Beispiele:

  • Ein Benutzer gibt seinen Benutzernamen und sein Kennwort auf dem Microsoft Entra-Anmeldebildschirm ein.
  • Ein Benutzer übergibt eine SMS MFA-Abfrage.
  • Ein Benutzer gibt eine biometrische Geste zum Entsperren seines Windows-PCs mit Windows Hello for Business an.
  • Ein Benutzer ist im Verbund mit Microsoft Entra ID mit einer AD FS SAML-Assertion.

Zusätzlich zu den Standardfeldern werden im Protokoll zu interaktiven Anmeldungen auch folgende Informationen angezeigt:

  • Der Standort der Anmeldung
  • Ob bedingter Zugriff angewendet wurde

Besondere Überlegungen

Nicht interaktive Anmeldungen in den Protokollen zur interaktiven Anmeldung

Zuvor wurden einige nicht interaktive Anmeldungen von Microsoft Exchange-Clients in das Protokoll für interaktive Benutzeranmeldungen aufgenommen, um eine bessere Sichtbarkeit zu ermöglichen. Diese erhöhte Sichtbarkeit war erforderlich, bevor im November 2020 die Protokolle für nicht interaktive Benutzeranmeldungen eingeführt wurden. Es ist jedoch wichtig zu beachten, dass einige nicht interaktive Anmeldungen, z. B. solche, die FIDO2-Schlüssel verwenden, noch immer als interaktiv gekennzeichnet sein können. Dies liegt an der Art und Weise, in der das System vor der Einführung separater Protokolle für die nicht interaktive Anmeldung eingerichtet wurde. Diese Anmeldungen können interaktive Details wie die Art der Clientanmeldeinformationen sowie Browserinformationen anzeigen, obwohl es sich technisch gesehen nicht um interaktive Anmeldungen handelt.

Passthroughanmeldungen

Microsoft Entra ID gibt Token für die Authentifizierung und Autorisierung aus. In einigen Situationen kann es vorkommen, dass beim Contoso-Mandanten angemeldete Benutzer*innen versuchen, auf Ressourcen im Fabrikam-Mandanten zuzugreifen, auf dem sie keinen Zugriff besitzen. Für den Fabrikam-Mandanten wird ein Token ohne Autorisierung ausgestellt, das auch als Passthroughtoken bezeichnet wird. Das Passthroughtoken ermöglicht Benutzer*innen nicht den Zugriff auf Ressourcen.

Beim Überprüfen der Protokolle in dieser Situation enthalten die Anmeldeprotokolle für den Basismandanten (in diesem Szenario Contoso) keinen Anmeldeversuch, da das Token keinen Zugriff auf eine Ressource mit Ansprüchen gewährte. Das Anmeldetoken wurde nur verwendet, um die entsprechende Fehlermeldung anzuzeigen.

Passthrough-Anmeldeversuche werden jetzt in den Anmeldeprotokollen des Basismandanten und allen relevanten Anmeldeprotokollen für Mandanteneinschränkungen angezeigt. Dieses Update bietet mehr Einblicke in Anmeldungsversuche Ihrer Benutzer*innen und umfassendere Erkenntnisse zu Ihren Mandanteneinschränkungsrichtlinien.

Die crossTenantAccessType-Eigenschaft zeigt nun passthrough an, um zwischen Passthrough-Anmeldungen zu unterscheiden, und sie ist im Microsoft Entra Admin Center und in Microsoft Graph verfügbar.

Dienstprinzipalanmeldungen nur bei Erstanbieter-Apps

Die Protokolle für Dienstprinzipalanmeldungen enthalten keine Anmeldeaktivitäten nur bei Erstanbieter-Apps. Diese Art von Aktivität tritt auf, wenn Erstanbieter-Apps Token für einen internen Microsoft-Auftrag abrufen, bei dem es keine Richtung oder keinen Kontext durch Benutzer*innen gibt. Wir schließen diese Protokolle aus, damit Sie nicht für Protokolle bezahlen, die sich auf interne Microsoft-Token in Ihrem Mandanten beziehen.

Sie können Microsoft Graph-Ereignisse identifizieren, die nicht mit einer Dienstprinzipalanmeldung korrelieren, wenn Sie MicrosoftGraphActivityLogs mit SignInLogs an denselben Log Analytics-Arbeitsbereich weiterleiten. Diese Integration ermöglicht es Ihnen, das für den Aufruf der Microsoft Graph-API ausgegebene Token mit der Anmeldeaktivität abzugleichen. Der UniqueTokenIdentifier und die SignInActivityId in den Microsoft Graph-Aktivitätsprotokollen fehlen in den Protokollen für Dienstprinzipalanmeldungen.

Nicht interaktive Benutzeranmeldungen

Nicht interaktive Anmeldungen werden im Namen von Benutzers*innen vorgenommen. Diese delegierten Anmeldungen wurden von einer Client-App oder Betriebssystemkomponenten im Namen von Benutzer*innen durchgeführt und erfordern keine durch die Benutzer*innen angegebene Authentifizierungsfaktoren. Stattdessen erkennt Microsoft Entra ID, wann die Token der Benutzer*innen aktualisiert werden müssen. Dies geschieht im Hintergrund, ohne die Benutzersitzung zu unterbrechen. Vom Benutzer werden diese Anmeldungen im Allgemeinen als im Hintergrund durchgeführte Vorgänge wahrgenommen.

Screenshot of the non-interactive user sign-in log.

Berichtsgröße: Groß
Beispiele:

  • Eine Client-App verwendet ein OAuth 2.0-Aktualisierungstoken zum Abrufen eines Zugriffstokens.
  • Ein Client verwendet einen OAuth 2.0-Autorisierungscode zum Abrufen eines Zugriffstokens und Aktualisierungstokens.
  • Ein Benutzer führt einmaliges Anmelden (Single Sign-On, SSO) bei einer Web- oder Windows-App auf einem in Microsoft Entra beigetretenen PC aus (ohne dass ein Authentifizierungsfaktor bereitgestellt oder mit einer Microsoft Entra-Eingabeaufforderung interagiert wird).
  • Ein Benutzer meldet sich bei einer zweiten Microsoft Office-App an, während er auf einem mobilen Gerät mit FOCI (Family of Client IDs) an einer Sitzung teilnimmt.

Zusätzlich zu den Standardfeldern werden im Protokoll zu nicht interaktiven Anmeldungen auch folgende Informationen angezeigt:

  • Ressourcen-ID
  • Anzahl von gruppierten Anmeldungen

Sie können die in diesem Bericht gezeigten Felder nicht anpassen.

Um die Verarbeitung der Daten zu vereinfachen, werden nicht interaktive Anmeldeereignisse gruppiert. Clients erstellen oft innerhalb eines kurzen Zeitraums viele nicht interaktive Anmeldungen im Namen desselben Benutzers. Die nicht interaktiven Anmeldungen weisen mit Ausnahme der Uhrzeit des Anmeldeversuchs die gleichen Merkmale auf. Beispielsweise kann ein Client im Namen eines Benutzers einmal pro Stunde ein Zugriffstoken abrufen. Wenn sich der Status des Benutzers oder Clients nicht ändert, sind die IP-Adresse, die Ressource und alle anderen Informationen bei jeder Zugriffstokenanforderung identisch. Nur das Datum und die Uhrzeit der Anmeldung ändern sich.

Screenshot of an aggregate sign-in expanded to show all rows.

Wenn Microsoft Entra mehrere Anmeldungen protokolliert, die bis auf Datum und Uhrzeit identisch sind, stammen diese Anmeldungen von derselben Entität und werden in einer einzigen Zeile aggregiert. In einer Zeile mit mehreren identischen Anmeldungen – mit Ausnahme von Datum und Uhrzeit der Ausstellung – enthält die Spalte Anzahl der Anmeldungen einen Wert größer als 1. Diese aggregierten Anmeldungen können dem Anschein nach auch die gleichen Zeitstempel haben. Der Filter Zeitaggregat kann auf 1 Stunde, 6 Stunden oder 24 Stunden festgelegt werden. Sie können die Zeile erweitern, um alle unterschiedlichen Anmeldungen und deren unterschiedliche Zeitstempel anzuzeigen.

Anmeldungen werden in den nicht interaktiven Benutzern aggregiert, wenn die folgenden Daten übereinstimmen:

  • Application
  • Benutzer
  • IP-Adresse
  • Status
  • Ressourcen-ID

Hinweis

Die IP-Adresse nicht interaktiver Anmeldungen, die von vertraulichen Clients durchgeführt werden, stimmt nicht mit der tatsächlichen Quell-IP-Adresse überein, von der die Aktualisierungstokenanforderung stammt. Stattdessen wird die ursprüngliche IP-Adresse für die ursprüngliche Tokenausstellung gezeigt.

Dienstprinzipalanmeldungen

Anders als bei interaktiven und nicht interaktiven Benutzeranmeldungen ist an Dienstprinzipalanmeldungen kein Benutzer beteiligt. Stattdessen handelt es sich hierbei um Anmeldungen durch ein beliebiges Nichtbenutzerkonto, z. B. Apps oder Dienstprinzipale (außer bei der Anmeldung von verwalteten Identitäten, die nur im Protokoll zu Anmeldungen verwalteter Identitäten enthalten sind). Bei diesen Anmeldungen stellt die App oder der Dienst eigene Anmeldeinformationen bereit, z. B. ein Zertifikat oder ein App-Geheimnis für die Authentifizierung oder den Zugriff auf Ressourcen.

Screenshot of the service principal sign-in log.

Berichtsgröße: Groß
Beispiele:

  • Ein Dienstprinzipal verwendet ein Zertifikat zur Authentifizierung von Microsoft Graph und für den Zugriff darauf.
  • Eine Anwendung verwendet ein Clientgeheimnis zur Authentifizierung im Flow für OAuth-Clientanmeldeinformationen.

Sie können die in diesem Bericht gezeigten Felder nicht anpassen.

Um die Verarbeitung der Daten in den Anmeldeprotokollen des Dienstprinzipals zu vereinfachen, werden dessen Anmeldeereignisse gruppiert. Anmeldungen aus derselben Entität unter denselben Bedingungen werden in eine einzige Zeile aggregiert. Sie können die Zeile erweitern, um alle unterschiedlichen Anmeldungen und deren unterschiedliche Zeitstempel anzuzeigen. Anmeldungen werden im Dienstprinzipalbericht aggregiert, wenn die folgenden Daten übereinstimmen:

  • Name oder ID des Dienstprinzipals
  • Status
  • IP-Adresse
  • Name oder ID der Ressource

Anmeldungen verwalteter Identitäten

Verwaltete Identitäten für Azure-Ressourcenanmeldungen sind Anmeldungen, die durch Ressourcen vorgenommen wurden, deren Geheimnisse von Azure verwaltet werden, um die Verwaltung von Anmeldeinformationen zu vereinfachen. Ein virtueller Computer mit verwalteten Anmeldeinformationen verwendet Microsoft Entra ID zum Abrufen eines Zugriffstokens.

Screenshot of the managed identity sign-in log.

Berichtsgröße: Klein
Beispiele:

Sie können die in diesem Bericht gezeigten Felder nicht anpassen.

Um die Verarbeitung der Daten zu vereinfachen, werden verwaltete Identitäten für Anmeldeprotokolle zu Azure-Ressourcen und nicht interaktive Anmeldeereignisse gruppiert. Anmeldungen aus derselben Entität werden in eine einzige Zeile aggregiert. Sie können die Zeile erweitern, um alle unterschiedlichen Anmeldungen und deren unterschiedliche Zeitstempel anzuzeigen. Anmeldungen werden im Bericht zu verwalteten Identitäten aggregiert, wenn alle folgenden Daten übereinstimmen:

  • Name oder ID der verwalteten Identität
  • Status
  • Name oder ID der Ressource

Wählen Sie ein Element in der Listenansicht aus, um alle unter einem Knoten gruppierten Anmeldungen anzuzeigen. Wählen Sie ein gruppiertes Element aus, um alle Details der Anmeldung anzuzeigen.

Von anderen Diensten verwendete Anmeldedaten

Anmeldedaten werden von mehreren Diensten in Azure beispielsweise verwendet, um Risikoanmeldungen zu überwachen und Erkenntnisse zur Anwendungsnutzung bereitzustellen.

Microsoft Entra ID Protection

Anmeldeprotokolldaten im Zusammenhang mit Risikoanmeldungen können in der Übersicht von Microsoft Entra ID Protection visualisiert werden. Die Übersicht umfasst die folgenden Daten:

  • Riskante Benutzer
  • Anmeldungen von Risikobenutzern
  • Gefährdete Workloadidentitäten

Weitere Informationen zu Microsoft Entra ID Protection-Tools finden Sie unter Übersicht der Microsoft Entra ID Protection.

Nutzung von und Erkenntnisse in Microsoft Entra

Zum Anzeigen anwendungsspezifischer Anmeldedaten navigieren Sie zu Microsoft Entra-ID>Überwachung und Integrität>Verbrauch und Erkenntnisse. Diese Berichte bieten einen genaueren Einblick in Anmeldedaten für Microsoft Entra-Anwendungsaktivitäten und AD FS-Anwendungsaktivitäten. Weitere Informationen finden Sie unter Microsoft Entra-Verbrauch und Erkenntnisse.

Screenshot of the Usage & insights report.

Unter Verbrauch und Erkenntnissse sind mehrere Berichte verfügbar. Einige dieser Berichte sind in der Vorschauversion.

  • Microsoft Entra-Anwendungsaktivität (Vorschau)
  • AD FS-Anwendungsaktivität
  • Aktivität für Authentifizierungsmethoden
  • Dienstprinzipal-Anmeldeaktivität
  • Aktivität für Anwendungsanmeldeinformationen

Microsoft 365-Aktivitätsprotokolle

Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Microsoft 365- und Microsoft Entra-Aktivitätsprotokolle nutzen eine erhebliche Anzahl von Verzeichnisressourcen gemeinsam. Nur das Microsoft 365 Admin Center bietet eine vollständige Übersicht über die Microsoft 365-Aktivitätsprotokolle.

Mithilfe der Office 365-Verwaltungs-APIs können Sie programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen.