Freigeben über


Was sind Microsoft Entra-Anmeldeprotokolle?

Microsoft Entra protokolliert alle Anmeldungen in einem Microsoft Entra-Mandanten, zu dem Ihre internen Apps und Ressourcen gehören. Als IT-Administrator*in müssen Sie wissen, was die Werte in einem Anmeldeprotokoll bedeuten, damit Sie die Protokollwerte richtig interpretieren können.

Die Überprüfung von Anmeldefehlern und -mustern bietet wertvolle Erkenntnisse darüber, wie Ihre Benutzer auf Anwendungen und Dienste zugreifen. Die von Microsoft Entra ID bereitgestellten Anmeldeprotokolle sind eine leistungsstarke Art von Aktivitätsprotokoll , die Sie analysieren können. Dieser Artikel beschreibt einige wichtige Aspekte der Anmeldeprotokolle.

Drei weitere Aktivitätsprotokolle stehen ebenfalls zur Verfügung, um den Zustand Ihres Mandanten zu überwachen.

  • Überwachung – Informationen zu Änderungen, die auf Ihren Mandanten angewendet wurden, z. B. Benutzer und Gruppenverwaltung oder Aktualisierungen, die auf die Ressourcen Ihres Mandanten angewendet wurden.
  • Registrierungen (Vorschau) – Nur für externe Mandanten informationen zu allen Self-Service-Registrierungsversuchen, einschließlich erfolgreicher Registrierungen und fehlgeschlagener Versuche.
  • Bereitstellung – Aktivitäten, die von einem Bereitstellungsdienst ausgeführt werden, z. B. die Erstellung einer Gruppe in ServiceNow oder ein benutzer, der aus Workday importiert wurde.

Wozu können Sie Anmeldeprotokolle nutzen?

Sie können anhand der Anmeldeprotokolle Fragen beantworten, z. B.:

  • Wie viele Benutzer*innen meldeten sich in dieser Woche bei einer bestimmten Anwendung an?
  • Wie viele Anmeldeversuche schlugen in den letzten 24 Stunden fehl?
  • Melden sich Benutzer*innen über bestimmte Browser oder Betriebssysteme an?
  • Auf welche meiner Azure-Ressourcen wurde von verwalteten Identitäten und Dienstprinzipalen zugegriffen?

Sie können auch die Aktivität beschreiben, die einer Anmeldeanforderung zugeordnet ist, indem Sie die folgenden Details angeben:

  • Who – Die Identität (Benutzer), die die Anmeldung durchführt.
  • Wie – Der Client (Anwendung), der für die Anmeldung verwendet wurde.
  • Was – Das Ziel (Ressource), auf das von der Identität zugegriffen wird.

Hinweis

Einträge in den Anmeldeprotokollen werden vom System generiert und können nicht geändert oder gelöscht werden.

Wie erfolgt der Zugriff auf die Anmeldeprotokolle?

Je nach Anforderung gibt es verschiedene Möglichkeiten, auf die Protokolle zuzugreifen. Weitere Informationen finden Sie unter "Zugreifen auf Aktivitätsprotokolle".

So zeigen Sie die Anmeldeprotokolle im Microsoft Entra Admin Center an

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitSign-In-Protokollen.

Um die Anmeldeprotokolle im Microsoft Entra Admin-Center effektiver nutzen zu können, passen Sie die Filter so an, dass nur ein bestimmtes Set von Protokollen angezeigt wird. Weitere Informationen finden Sie unter Anmeldeprotokolle filtern.

Welche Typen von Anmeldeprotokollen gibt es?

In der Vorschauversion der Anmeldeprotokolle gibt es vier Typen von Protokollen:

Die klassischen Anmeldeprotokolle enthalten nur interaktive Benutzeranmeldungen.

Microsoft Entra Agent ID

Die Microsoft Entra-Agent-ID wurde bei Microsoft Build 2025 gestartet und stellt ein einheitliches Verzeichnis aller Agentidentitäten bereit, die in Microsoft Copilot Studio und Azure AI Foundry erstellt wurden. Mit dieser ersten Version können IT-Administratoren Agentidentitäten direkt im Microsoft Entra Admin Center anzeigen und verwalten, einschließlich aktualisierter Anmeldeprotokolle. Da Agents mit benutzerdelegierbaren oder nur app-only-Berechtigungen arbeiten können, werden ihre Anmeldungen möglicherweise in jedem der vier Anmeldeprotokolltypen angezeigt.

Ein neuer komplexer Anmeldeprotokoll-Ressourcentyp agentSignIn wurde den Microsoft Entra-Anmeldeprotokollen hinzugefügt. Dieser Ressourcentyp enthält Eigenschaften für den Agent, z. B. wenn der Agent eine App oder eine Instanz einer App ist. Wenn der Agenttyp lautet agenticAppInstance, wird die parentID Eigenschaft eingeschlossen, um die Rückverfolgbarkeit für den Bereitstellungs-Agent bereitzustellen.

Der neue Anmeldeprotokollressourcentyp ist im Microsoft Entra Admin Center und der Microsoft Graph-API verfügbar.

  • Verwenden Sie den isAgent Filter in den Anmeldeprotokollen des Microsoft Entra Admin Centers, um nur agentische Anmeldeereignisse zu filtern.
  • Legen Sie in Enterprise-Anwendungen den Anwendungstypfilter auf Agent-ID (Vorschau) fest, um alle Agentidentitäten in Ihrem Mandanten anzuzeigen. Wählen Sie dann auf der App-Details-Seite die Anmeldeprotokolle aus, um die Anmeldeaktivität anzuzeigen.
  • Informationen zum Ressourcentyp in Microsoft Graph finden Sie unter agentSignIn

Weitere Informationen finden Sie in der Microsoft Entra Blog-Ankündigung .

Von anderen Diensten verwendete Anmeldedaten

Anmeldedaten werden von mehreren Diensten in Azure und Microsoft Entra verwendet, um Risikoanmeldungen zu überwachen und Erkenntnisse zur Anwendungsnutzung bereitzustellen.

Microsoft Entra ID-Schutz

Anmeldeprotokolldatenvisualisierung, die sich auf riskante Anmeldungen bezieht, ist in der Microsoft Entra ID Protection-Übersicht verfügbar, die die folgenden Daten verwendet:

  • Risikobenutzer
  • Anmeldungen von Risikobenutzern
  • Gefährdete Workloadidentitäten

Weitere Informationen zu den Microsoft Entra ID Protection-Tools finden Sie in der Übersicht über Microsoft Entra ID Protection.

Nutzung von und Erkenntnisse in Microsoft Entra

Um anwendungsspezifische Anmeldedaten anzuzeigen, navigieren Sie zu Microsoft Entra ID>Monitoring & Health>Usage & Insights. Diese Berichte bieten einen genaueren Einblick in Anmeldedaten für Microsoft Entra-Anwendungsaktivitäten und AD FS-Anwendungsaktivitäten. Weitere Informationen finden Sie unter Microsoft Entra Usage & Insights.

Screenshot des Berichts

Es gibt mehrere Berichte in Usage & Insights. Einige dieser Berichte sind in der Vorschauversion.

  • Microsoft Entra-Anwendungsaktivität (Vorschau)
  • AD FS-Anwendungsaktivität
  • Aktivität für Authentifizierungsmethoden
  • Dienstprinzipal-Anmeldeaktivität
  • Aktivität für Anwendungsanmeldeinformationen

Microsoft 365-Aktivitätsprotokolle

Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Microsoft 365- und Microsoft Entra-Aktivitätsprotokolle nutzen eine erhebliche Anzahl von Verzeichnisressourcen gemeinsam. Nur das Microsoft 365 Admin Center bietet eine vollständige Übersicht über die Microsoft 365-Aktivitätsprotokolle.

Sie können programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen, indem Sie die Office 365-Verwaltungs-APIs verwenden.