Was ist der Nutzungs- und Insights-Bericht in Microsoft Entra ID?

  • Artikel

Mit dem Bericht Nutzung und Erkenntnisse von Microsoft Entra erhalten Sie eine anwendungsorientierte Ansicht Ihrer Anmeldedaten. Unter „Nutzung und Erkenntnisse“ finden Sie einen Bericht zu Authentifizierungsmethoden, Dienstprinzipalanmeldungen und Aktivitäten im Zusammenhang mit Anwendungsanmeldeinformationen. Dort finden Sie Antworten auf die folgenden Fragen:

  • Welche Anwendungen werden in meinem Unternehmen am meisten verwendet?
  • Bei welchen Anwendungen schlagen die meisten Anmeldungen fehl?
  • Welche Anmeldefehler treten für jede Anwendung am häufigsten auf?
  • Was war das Datum der letzten Anmeldung für eine Anwendung?

Voraussetzungen

Für den Zugriff auf die Daten aus „Nutzung und Erkenntnisse“ benötigen Sie Folgendes:

  • Ein Microsoft Entra-Mandant
  • Eine P1- oder P2-Lizenz für Microsoft Entra ID zum Anzeigen der Anmeldedaten
  • Ein Benutzer oder eine Benutzerin mit der Rolle „Berichtsleseberechtigter“, „Sicherheitsleseberechtigter“ oder „Sicherheitsadministrator“.

Zugreifen auf „Nutzung und Erkenntnisse“

Sie können über das Azure-Portal und mithilfe von Microsoft Graph auf die Nutzungs- und Erkenntnisberichte zugreifen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Navigieren zu Identität>Überwachung und Integrität>Nutzung und Erkenntnisse.

Die Berichte unter Nutzung und Erkenntnisse sind auch im Bereich Unternehmensanwendungen von Microsoft Entra ID verfügbar. Alle Benutzer*innen können auf ihre eigenen Anmeldungen im Portal Meine Anmeldungen zugreifen.

Microsoft Entra-Anwendungsaktivität (Vorschau)

Der Bericht Microsoft Entra-Anwendungsaktivität (Vorschau) enthält die Liste der Anwendungen mit mindestens einem Anmeldeversuch. Jede Anwendung, die während des ausgewählten Datumsbereichs aktiv war, wird in dem Bericht angezeigt. Sie können den Bericht nach der Anzahl erfolgreicher Anmeldungen, der Anzahl fehlerhafter Anmeldungen und der Erfolgsrate sortieren.

Es ist möglich, dass die Aktivität für eine gelöschte Anwendung im Bericht angezeigt wird, wenn die Aktivität während des ausgewählten Datumsbereichs and vor dem Löschen der Anwendung stattfand. In anderen Szenarien könnte z. B. ein Benutzer versuchen, sich bei einer Anwendung anzumelden, der kein Dienstprinzipal zugeordnet ist. Bei diesen Arten von Szenarien müssen Sie möglicherweise die Überwachungs- oder Anmeldeprotokolle überprüfen, um dies weiter zu untersuchen.

Um Details zur Anmeldeaktivität für eine Anwendung anzuzeigen, wählen Sie den Link Anmeldeaktivität anzeigen für die entsprechende Anwendung aus.

Screenshot des Berichts „Nutzung und Erkenntnisse“ für eine Anwendungsaktivität, in dem Sie einen Zeitraum auswählen und Anmeldeaktivitäten für verschiedene Apps anzeigen können

Für den Graph zur Anmeldeaktivität werden interaktive Benutzeranmeldungen verwendet. Wählen Sie einen Tag im Anwendungsnutzungsgraph aus, um eine ausführliche Liste der Anmeldeaktivitäten für die Anwendung anzuzeigen. Diese detaillierte Liste ist tatsächlich das Anmeldeprotokoll, bei dem der Filter auf die ausgewählte Anwendung und das ausgewählte Datum festgelegt ist. Die Details zu Anmeldefehlern werden unter der Tabelle angezeigt.

Screenshot der Details zu Anmeldeaktivitäten für eine ausgewählte Anwendung

Anwendungsaktivität mit Microsoft Graph

Sie können applicationSignInSummary oder applicationSignInDetailedSummary für die Microsoft Entra-Anwendungsaktivität mit Microsoft Graph anzeigen.

Fügen Sie die folgende Abfrage hinzu, um die Anmeldezusammenfassung anzuzeigen, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

GET https://graph.microsoft.com/beta/reports/getAzureADApplicationSignInSummary(period='{period}')

Fügen Sie die folgende Abfrage hinzu, um die Details zur Anmeldung anzuzeigen, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

GET https://graph.microsoft.com/beta/reports/applicationSignInDetailedSummary/{id}

Weitere Informationen finden Sie im Artikel zur Anwendungsanmeldung in Microsoft Graph.

AD FS-Anwendungsaktivität

Der AD FS-Anwendungsaktivitätsbericht unter Nutzung & Erkenntnisse enthält alle AD FS-Anwendungen (Active Directory-Verbunddienste) in Ihrer Organisation, bei denen in den letzten 30 Tagen eine aktive Benutzeranmeldung zur Authentifizierung erfolgte. Diese Anwendungen wurden zur Authentifizierung nicht zu Microsoft Entra ID migriert.

Beim Anzeigen der AD FS-Anwendungsaktivität mithilfe von Microsoft Graph wird eine Liste der relyingPartyDetailedSummary-Objekte abgerufen, die die vertrauende Seite eines bestimmten Verbunddiensts identifiziert.

Fügen Sie die folgende Abfrage hinzu, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

GET https://graph.microsoft.com/beta/reports/getRelyingPartyDetailedSummary(period='{period}')

Weitere Informationen finden Sie im Artikel zu AD FS-Anwendungsaktivität in Microsoft Graph.

Aktivität für Authentifizierungsmethoden

Unter Authentifizierungsmethoden: Aktivität in „Nutzung und Erkenntnisse“ werden Visualisierungen der verschiedenen Authentifizierungsmethoden angezeigt, die von Ihrer Organisation verwendet werden. Auf der Registerkarte Registrierung werden Statistiken der Benutzer*innen angezeigt, die für jede Ihrer verfügbaren Authentifizierungsmethoden registriert sind. Wählen Sie oben auf der Seite die Registerkarte Nutzung aus, um die tatsächliche Nutzung jeder Authentifizierungsmethode anzuzeigen.

Sie können auch auf mehrere andere Berichte und Tools zugreifen, die im Zusammenhang mit der Authentifizierung stehen.

Planen Sie die Durchführung einer Registrierungskampagne, um Benutzer*innen zur Registrierung für MFA aufzufordern? Verwenden Sie die Option Registrierungskampagne im Seitenmenü, um eine Registrierungskampagne einzurichten. Weitere Informationen finden Sie unter Auffordern von Benutzern zur Einrichtung von Microsoft Authenticator.

Suchen Sie nach Details einzelner Benutzer*innen und ihrer Authentifizierungsmethoden? Sehen Sie sich den Bericht Details zur Benutzerregistrierung im Seitenmenü an, und suchen Sie nach einem Namen oder UPN. Es werden die MFA-Standardmethode und andere registrierte Methoden angezeigt. Sie können auch sehen, ob die Benutzer*innen in der Lage sind, sich für eine der Authentifizierungsmethoden zu registrieren.

Suchen Sie nach dem Status von Authentifizierungsregistrierungen oder von Zurücksetzungsereignissen von Benutzer*innen? Sehen Sie sich den Bericht Registrierungs- und Zurücksetzungsereignisse im Seitenmenü an, und suchen Sie dort nach einem Namen oder UPN. Sie können die Methode anzeigen, mit der versucht wurde, eine Authentifizierungsmethode zu registrieren oder zurückzusetzen.

Dienstprinzipal-Anmeldeaktivität (Vorschau)

Der Bericht „Dienstprinzipal-Anmeldeaktivität (Vorschau)“ enthält das Datum der letzten Aktivität für jeden Dienstprinzipal. Der Bericht enthält Informationen zur Verwendung des Dienstprinzipals: ob er als Client- oder Ressourcen-App verwendet wurde und ob er nur im Kontext einer App oder in einem delegierten Kontext verwendet wurde. Der Bericht zeigt den Zeitpunkt der letzten Verwendung des Dienstprinzipals.

Screenshot: Bericht zur Dienstprinzipal-Anmeldeaktivität.

Wählen Sie den Link Weitere Details anzeigen aus, um die Client- und Objekt-IDs für die Anwendung und die spezifische Anmeldeaktivität des Dienstprinzipals zu suchen.

Screenshot: Details zur Dienstprinzipal-Anmeldeaktivität.

Anmeldeaktivität des Dienstprinzipals mit Microsoft Graph

Die servicePrincipalSignInActivity-Berichte können mit Microsoft Graph angezeigt werden.

Fügen Sie die folgende Abfrage in Graph Explorer hinzu, um die Anmeldeaktivität des Dienstprinzipals abzurufen, und wählen Sie dann die SchaltflächeAbfrage ausführen aus.

GET https://graph.microsoft.com/beta/reports/servicePrincipalSignInActivities/{id}

Beispielantwort:

{
     "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/servicePrincipalSignInActivities",
     "id": "ODNmNDUyOTYtZmI4Zi00YWFhLWEzOTktYWM1MTA4NGUwMmI3",
     "appId": "83f45296-fb8f-4aaa-a399-ac51084e02b7",    
     "delegatedClientSignInActivity": {
          "lastSignInDateTime": "2021-01-01T00:00:00Z",
          "lastSignInRequestId": "2d245633-0f48-4b0e-8c04-546c2bcd61f5"
     },
     "delegatedResourceSignInActivity": {
          "lastSignInDateTime": "2021-02-01T00:00:00Z",
          "lastSignInRequestId": "d2b4c623-f930-42b5-9519-7851ca604b16"
     },
     "applicationAuthenticationClientSignInActivity": {
          "lastSignInDateTime": "2021-03-01T00:00:00Z",
          "lastSignInRequestId": "b71f24ec-f212-4306-b2ae-c229e15805ea"
     },
     "applicationAuthenticationResourceSignInActivity": {
          "lastSignInDateTime": "2021-04-01T00:00:00Z",
          "lastSignInRequestId": "53e6981f-2272-4deb-972c-c8272aca986d"
     },
     "lastSignInActivity": {
          "lastSignInDateTime": "2021-04-01T00:00:00Z",
          "lastSignInRequestId": "cd9733e8-d75a-468f-a63d-6e82bd48c05e"
     }
}

Weitere Informationen finden Sie im Artikel zum Auflisten von Dienstprinzipal-Anmeldeaktivitäten in Microsoft Graph.

Aktivitäten für Anwendungsanmeldeinformationen (Vorschau)

Der Bericht „Aktivitäten für Anwendungsanmeldeinformationen (Vorschau)“ enthält das Datum der letzten Anmeldeinformationenaktivität für alle Anwendungsanmeldeinformationen. Der Bericht enthält den Anmeldeinformationstyp (Zertifikat oder geheimer Clientschlüssel), das Datum der letzten Verwendung und das Ablaufdatum. Mit diesem Bericht können Sie die Ablaufdaten aller Anwendungen an einem Ort anzeigen.

Um die Details zur Aktivität für Anwendungsanmeldeinformationen anzuzeigen, wählen Sie den Link Weitere Details anzeigen aus. Zu diesen Details gehören das Anwendungsobjekt, der Dienstprinzipal und die Ressourcen-IDs. Sie können auch sehen, ob der Ursprung der Anmeldeinformationen die Anwendung oder der Dienstprinzipal ist.

Screenshot: Bericht mit Aktivitäten zu Anwendungsanmeldeinformationen.

Wenn Sie den Link Weitere Details anzeigen auswählen, können Sie die Anwendungsobjekt-ID und die Ressourcen-ID sowie die Details im Bericht anzeigen.

Screenshot: Details zu Aktivitäten für Anwendungsanmeldeinformationen.

Aktivität für Anwendungsanmeldeinformationen mit Microsoft Graph

Die Aktivitäten für Anwendungsanmeldeinformationen können mit Microsoft Graph im /beta-Endpunkt angezeigt und verwaltet werden. Sie können die Anmeldeaktivitäten für Anwendungsanmeldeinformationen nach Entität id, keyIdund appId abrufen.

Befolgen Sie zunächst diese Anweisungen, um in Microsoft Graph im Graph-Explorer mit appCredentialSignInActivity zu arbeiten.

  1. Melden Sie sich bei Graph Explorer an.

  2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

  3. Legen Sie für die API-Version Beta fest.

  4. Fügen Sie die folgende Abfrage hinzu, um Empfehlungen abzurufen, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

    GET https://graph.microsoft.com/beta/reports/appCredentialSignInActivities/{id}

Beispielantwort:

{
 "@odata.type": "#microsoft.graph.appCredentialSignInActivity",
 "id": "ODNmNDUyOTYtZmI4Zi00YWFhLWEzOTktYWM1MTA4NGUwMmI3fGFwcGxpY2F0aW9u",
 "keyId": "83f45296-fb8f-4aaa-a399-ac51084e02b7",
 "keyType": "certificate",
 "keyUsage": "sign",
 "appId": "f4d9654f-0305-4072-878c-8bf266dfe146",
 "appObjectId": "6920caa5-1cae-4bc8-bf59-9c0b8495d240",
 "servicePrincipalObjectId": "cf533854-9fb7-4c01-9c0e-f68922ada8b6",
 "resourceId": "a89dc091-a671-4da4-9fcf-3ef06bdf3ac3",
 "credentialOrigin": "application",
 "expirationDate": "2021-04-01T21:36:48-8:00",
 "signInActivity": {
     "lastSignInDateTime": "2021-04-01T00:00:00-8:00",
     "lastSignInRequestId": "b0a282a3-68ec-4ec8-aef0-290ed4350271"
 }
}

Weitere Informationen finden Sie im Artikel zu Aktivitäten für Anwendungsanmeldeinformationen in Microsoft Graph.