Freigeben über


Archivieren von Protokollen und Erstellen von Berichten der Berechtigungsverwaltung in Azure Monitor

Microsoft Entra ID speichert Überwachungsereignisse für die Verwaltung von Berechtigungen und andere Microsoft Entra ID Governance-Features bis zu 30 Tage im Überwachungsprotokoll. Sie können die Überwachungsdaten jedoch länger als den Standardaufbewahrungszeitraum beibehalten, der unter "Wie lange speichert Microsoft Entra ID Berichtsdaten?", indem Sie sie an ein Azure Storage-Konto weiterleiten oder Azure Monitor verwenden. Anschließend können Sie Arbeitsmappen und benutzerdefinierte Abfragen und Berichte für diese Daten verwenden.

In diesem Artikel wird beschrieben, wie Sie Azure Monitor für die Aufbewahrung von Überwachungsprotokollen verwenden. Informationen zum Aufbewahren oder Melden von Microsoft Entra-Objekten, z. B. Benutzer oder Anwendungsrollenzuweisungen, finden Sie unter Angepasste Berichte im Azure Data Explorer (ADX) mithilfe von Daten aus microsoft Entra ID.

Konfigurieren von Microsoft Entra ID für die Verwendung mit Azure Monitor

Bevor Sie Azure Monitor-Arbeitsmappen verwenden, müssen Sie Microsoft Entra ID so konfigurieren, dass eine Kopie der Überwachungsprotokolle an Azure Monitor gesendet wird.

Zum Archivieren von Microsoft Entra-Überwachungsprotokollen müssen Sie über Azure Monitor in einem Azure-Abonnement verfügen. Weitere Informationen zu den Voraussetzungen und geschätzten Kosten für die Verwendung von Azure Monitor in Microsoft Entra-Aktivitätsprotokollen in Azure Monitor finden Sie hier.

  1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an. Stellen Sie sicher, dass Sie Zugriff auf die Ressourcengruppe haben, die den Azure Monitor-Arbeitsbereich enthält.

  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitDiagnostikeinstellungen.

  3. Überprüfen Sie, ob bereits eine Einstellung zum Senden der Überwachungsprotokolle an diesen Arbeitsbereich vorhanden ist.

  4. Wenn noch keine Einstellung vorhanden ist, wählen Sie "Diagnoseeinstellung hinzufügen" aus. Verwenden Sie die Anweisungen unter Integrieren von Microsoft Entra-Protokollen in Azure Monitor-Protokolle , um das Microsoft Entra-Überwachungsprotokoll an den Azure Monitor-Arbeitsbereich zu senden.

    Bereich

  5. Nachdem das Protokoll an Azure Monitor gesendet wurde, wählen Sie Log Analytics-Arbeitsbereiche aus, und wählen Sie den Arbeitsbereich aus, der die Microsoft Entra-Überwachungsprotokolle enthält.

  6. Wählen Sie "Nutzung" und "Geschätzte Kosten" und dann "Datenaufbewahrung" aus. Stellen Sie den Schieberegler auf die Anzahl der Tage ein, für die Daten zum Erfüllen Ihrer Überwachungsanforderungen aufbewahrt werden sollen.

    Fenster

  7. Später können Sie die Arbeitsmappe Archivierter Protokolldatenbereich verwenden, um den Bereich der in Ihrem Arbeitsbereich enthaltenen Datumsangaben anzuzeigen.

    1. Navigieren Sie zu Entra IDÜberwachung & GesundheitArbeitsmappen.

    2. Erweitern Sie den Abschnitt "Problembehandlung bei Microsoft Entra", und wählen Sie im Bereich "Archiviertes Protokolldatum" aus.

Anzeigen von Ereignissen für ein Zugriffspaket

Zum Anzeigen von Ereignissen für ein Zugriffspaket benötigen Sie Zugriff auf den zugrunde liegenden Azure Monitor-Arbeitsbereich (siehe Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor für Informationen) und in einer der folgenden Rollen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsleser
  • Meldet Reader
  • Anwendungsadministrator

Gehen Sie folgendermaßen vor, um Ereignisse anzuzeigen:

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an. Stellen Sie sicher, dass Sie Zugriff auf die Ressourcengruppe haben, die den Azure Monitor-Arbeitsbereich enthält.

  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitArbeitsmappen.

  3. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, das den Arbeitsbereich enthält.

  4. Nachdem Sie das Abonnement ausgewählt haben oder nur über ein Abonnement verfügen, wählen Sie die Arbeitsmappe mit dem Namen Access-Paketaktivität aus.

  5. Wählen Sie in dieser Arbeitsmappe einen Zeitraum aus (ändern Sie ihn in Alle, wenn Sie nicht sicher sind), und wählen Sie eine Zugriffspaket-ID aus der Dropdownliste aller Zugriffspakete aus, die während dieses Zeitraums Aktivität hatten. Es werden die Ereignisse im Zusammenhang mit dem Zugriffspaket angezeigt, die während des ausgewählten Zeitbereichs auftraten.

    Anzeigen von Zugriffspaketereignissen.

    Jede Zeile enthält die Uhrzeit, die Zugriffspaket-ID, den Namen des Vorgangs, die Objekt-ID, den UPN und den Anzeigenamen des Benutzers, der den Vorgang gestartet hat. Weitere Details sind im JSON-Code enthalten.

  6. Wenn Sie sehen möchten, ob Änderungen an Anwendungsrollenzuweisungen für eine Anwendung aufgetreten sind, die nicht auf Zugriffspaketzuweisungen zurückzuführen war, z. B. durch einen globalen Administrator, der einen Benutzer direkt einer Anwendungsrolle zuweist, können Sie die Arbeitsmappe namens Anwendungsrollenzuweisungsaktivität auswählen.

    Anzeigen von App-Rollenzuweisungen.

Erstellen von benutzerdefinierten Azure Monitor-Abfragen mit dem Microsoft Entra Admin Center

Sie können eigene Abfragen für Microsoft Entra-Überwachungsereignisse erstellen. Dazu zählen auch Ereignisse der Berechtigungsverwaltung.

  1. Wählen Sie im Microsoft Entra Admin Center unter dem Bereich Überwachung im linken Navigationsmenü die Option Protokolle aus, um eine neue Abfrageseite zu erstellen.

  2. Der Arbeitsbereich sollte oben links auf der Abfrageseite angezeigt werden. Wenn Sie über mehrere Azure Monitor-Arbeitsbereiche verfügen und der Arbeitsbereich, den Sie zum Speichern von Microsoft Entra-Überwachungsereignissen verwenden, nicht angezeigt wird, wählen Sie "Bereich auswählen" aus. Wählen Sie dann das richtige Abonnement und den entsprechenden Arbeitsbereich aus.

  3. Löschen Sie als Nächstes im Textbereich der Abfrage die Zeichenfolge „Suchen *“, und ersetzen Sie sie durch die folgende Abfrage:

    AuditLogs | where Category == "EntitlementManagement"
    
  4. Wählen Sie dann "Ausführen" aus.

    wählen Sie

In der Tabelle werden standardmäßig die Überwachungsprotokollereignisse der letzten Stunde für die Berechtigungsverwaltung angezeigt. Sie können die Einstellung „Zeitbereich“ ändern, um ältere Ereignisse anzuzeigen. Wenn Sie diese Einstellung ändern, werden jedoch nur Ereignisse angezeigt, die nach der Konfiguration von Microsoft Entra ID für das Senden von Ereignissen an Azure Monitor aufgetreten sind.

Wenn Sie die ältesten und neuesten Überwachungsereignisse in Azure Monitor anzeigen möchten, verwenden Sie die folgende Abfrage:

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Weitere Informationen zu den Spalten, die für Überwachungsereignisse in Azure Monitor gespeichert sind, finden Sie unter Interpretieren des Microsoft Entra-Überwachungsprotokollschemas in Azure Monitor.

Erstellen von benutzerdefinierten Azure Monitor-Abfragen mit Azure PowerShell

Nachdem Sie Microsoft Entra ID zum Senden von Protokollen an Azure Monitor konfiguriert haben, können Sie über PowerShell auf die Protokolle zugreifen. Sie können dann über Skripts oder die PowerShell-Befehlszeile Abfragen senden, ohne über die Rolle „Globaler Administrator“ im Mandanten verfügen zu müssen.

Sicherstellen der richtigen Rollenzuweisung für Benutzer oder Dienstprinzipal

Stellen Sie sicher, dass dem Benutzer oder Dienstprinzipal, der sich bei Microsoft Entra ID authentifiziert, im Log Analytics-Arbeitsbereich die entsprechende Azure-Rolle zugewiesen ist. „Log Analytics-Leser“ oder „Log Analytics-Mitwirkender“ sind als Rollenoptionen verfügbar. Wenn Sie sich bereits in einer dieser Rollen befinden, dann springen Sie zu Abrufen der Log Analytics-ID mit einem Azure-Abonnement.

Führen Sie die folgenden Schritte aus, um die Rollenzuweisung festzulegen und eine Abfrage zu erstellen:

  1. Suchen Sie im Microsoft Entra Admin Center den Log Analytics-Arbeitsbereich.

  2. Wählen Sie Access Control (IAM) aus.

  3. Wählen Sie dann "Hinzufügen" aus, um eine Rollenzuweisung hinzuzufügen.

    Fügen Sie eine Rollenzuweisung hinzu.

Installieren des Azure PowerShell-Moduls

Sobald Sie über die entsprechende Rollenzuweisung verfügen, starten Sie PowerShell, und installieren Sie das Azure PowerShell-Modul (sofern noch nicht geschehen), indem Sie Folgendes eingeben:

install-module -Name az -allowClobber -Scope CurrentUser

Nun können Sie sich bei Microsoft Entra ID authentifizieren und die ID des Log Analytics-Arbeitsbereichs abrufen, den Sie abfragen möchten.

Abrufen der Log Analytics-ID mit einem Azure-Abonnement

Wenn Sie ein einzelnes Azure-Abonnement und einen einzelnen Log Analytics-Arbeitsbereich haben, geben Sie Folgendes ein, um sich bei Microsoft Entra ID zu authentifizieren, eine Verbindung mit dem jeweiligen Abonnement herzustellen und den Arbeitsbereich abzurufen:

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Abrufen der Log Analytics-ID mit mehreren Azure-Abonnements

Get-AzOperationalInsightsWorkspace arbeitet jeweils in einem Abonnement. Wenn Sie mehrere Azure-Abonnements haben, müssen Sie daher sicherstellen, dass Sie eine Verbindung mit dem Abonnement herstellen, zu dem der Log Analytics-Arbeitsbereich mit den Microsoft Entra-Protokollen gehört.

Mit den folgenden Cmdlets können Sie eine Liste der Abonnements anzeigen und nach der ID des Abonnements mit dem Log Analytics-Arbeitsbereich suchen:

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

Sie können sich erneut authentifizieren und Ihre PowerShell-Sitzung mit einem Befehl (z. B. Connect-AzAccount –Subscription $subs[0].id) mit diesem Abonnement verknüpfen. Weitere Informationen zum Authentifizieren bei Azure über PowerShell, einschließlich nicht interaktiv, finden Sie unter Anmelden mit Azure PowerShell.

Wenn Sie über mehrere Log Analytics-Arbeitsbereiche in diesem Abonnement verfügen, gibt das Cmdlet Get-AzOperationalInsightsWorkspace die Liste der Arbeitsbereiche zurück. Sie können dann die Person finden, die über die Microsoft Entra-Protokolle verfügt. Das von diesem Cmdlet zurückgegebene Feld CustomerId ist identisch mit der Arbeitsbereichs-ID, die im Microsoft Entra Admin Center in der Übersicht des Log Analytics-Arbeitsbereichs angezeigt wird.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

Senden der Abfrage an den Log Analytics-Arbeitsbereich

Nachdem Sie einen Arbeitsbereich identifiziert haben, können Sie invoke-AzOperationalInsightsQuery verwenden, um eine Kusto-Abfrage an diesen Arbeitsbereich zu senden. Diese Abfragen werden in der Kusto-Abfragesprache geschrieben.

Sie können beispielsweise den Datumsbereich der Überwachungsereignisse aus dem Log Analytics-Arbeitsbereich mit PowerShell-Cmdlets abrufen, indem Sie eine Abfrage wie die folgende senden:

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

Mit einer Abfrage ähnlich der Folgenden können Sie auch Ereignisse der Berechtigungsverwaltung abrufen:

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft 

Verwenden von Abfragefiltern

Sie können das Feld TimeGenerated einschließen, um eine Abfrage auf einen bestimmten Zeitraum zu beschränken. Um beispielsweise die Überwachungsprotokollereignisse für Zugriffspaketzuweisungsrichtlinien für die Berechtigungsverwaltung abzurufen, die in den letzten 90 Tagen erstellt oder aktualisiert wurden, können Sie eine Abfrage bereitstellen, die dieses Feld sowie die Kategorie und den Vorgangstyp enthält.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources

Für die Überwachungsereignisse einiger Dienste wie die Berechtigungsverwaltung können Sie auch die betroffenen Eigenschaften der zu ändernden Ressourcen erweitern und filtern. Zum Beispiel können Sie nur die Überwachungsprotokolldatensätze anzeigen, die Zugriffspaketzuweisungsrichtlinien betreffen, die erstellt oder aktualisiert werden und bei denen keine Genehmigung erforderlich ist, damit Benutzer eine Zuweisung hinzugefügt bekommen.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
mv-expand TargetResources | 
where TargetResources.type == "AccessPackageAssignmentPolicy" | 
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties | 
mv-expand MP1 | 
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc 

Nächste Schritte