Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle

Mithilfe der Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor integrieren, damit Ihre Anmeldeaktivität und das Überwachungsprotokoll von Änderungen in Ihrem Mandanten zusammen mit anderen Azure-Daten analysiert werden können.

Führen Sie die Schritte in diesem Artikel aus, um Microsoft Entra-Protokolle in Azure Monitor zu integrieren.

Durch Integration von Microsoft Entra-Aktivitätsprotokollen in Azure Monitor können Sie folgende Aufgaben ausführen:

  • Vergleichen Ihrer Microsoft Entra-Anmeldeprotokolle mit von Microsoft Defender für Cloud veröffentlichten Sicherheitsprotokollen.
  • Behandeln von Leistungsengpässen auf der Anmeldeseite Ihrer Anwendung durch Korrelieren von Anwendungsleistungsdaten aus Azure Application Insights
  • Analysieren von Benutzern, die von Identity Protection als Risikobenutzer eingestuft werden, und Risikoerkennungsprotokollen, um Bedrohungen in Ihrer Umgebung zu erkennen
  • Bestimmen von Anmeldungen über Anwendungen, die zur Authentifizierung weiterhin die Active Directory-Authentifizierungsbibliothek (Active Directory Authentication Library, ADAL) verwenden Erfahren Sie mehr über zum Plan für das Ende des Supports für ADAL.

Hinweis

Durch die Integration von Microsoft Entra-Protokollen in Azure Monitor wird der Microsoft Entra-Datenconnector in Microsoft Sentinel automatisch aktiviert.

Wie erhalte ich Zugriff?

Sie benötigen Folgendes, um dieses Feature verwenden zu können:

  • Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
  • Ein Microsoft Entra ID P1- oder P2-Mandant.
  • Globaler Administrator- oder Sicherheitsadministrator-Zugriff für den Microsoft Entra-Mandanten.
  • Einen Log Analytics-Arbeitsbereich in Ihrem Azure-Abonnement. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.
  • Berechtigung zum Zugriff auf Daten in einem Log Analytics-Arbeitsbereich Informationen zu den verschiedenen Berechtigungsoptionen und zum Konfigurieren von Berechtigungen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Erstellen eines Log Analytics-Arbeitsbereichs

Mit einem Log Analytics-Arbeitsbereich können Sie Daten basierend auf verschiedenen Anforderungen sammeln, z. B. geografischer Standort der Daten, Abonnementgrenzen oder Zugriff auf Ressourcen. Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier.

Möchten Sie wissen, wie Sie einen Log Analytics-Arbeitsbereich für Azure-Ressourcen außerhalb von Microsoft Entra ID einrichten können? Lesen Sie den Artikel Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

Senden von Protokollen an Azure Monitor

Führen Sie die folgenden Schritte aus, um Protokolle aus Microsoft Entra ID an Azure Monitor-Protokolle zu senden. Möchten Sie wissen, wie Sie einen Log Analytics-Arbeitsbereich für Azure-Ressourcen außerhalb von Azure AD einrichten können? Lesen Sie den Artikel Sammeln und Anzeigen von Ressourcenprotokollen für Azure Monitor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Navigieren Sie zu Identität>Überwachung und Integrität>Diagnoseeinstellungen. Sie können auch der Seite Überwachungsprotokolle oder Anmeldungen die Option Exporteinstellungen auswählen.

  3. Wählen Sie + Diagnoseeinstellung hinzufügen aus, um eine neue Integration zu erstellen, oder wählen Sie für eine vorhandene Integration Einstellung bearbeiten aus.

  4. Geben Sie unter Name der Diagnoseeinstellung einen Namen ein. Wenn Sie eine vorhandene Integration bearbeiten, können Sie den Namen nicht ändern.

  5. Wählen Sie die Protokollkategorien aus, die Sie streamen möchten.

  1. Aktivieren Sie unter Zieldetails das Kontrollkästchen An Log Analytics-Arbeitsbereich senden.

  2. Wählen Sie in den Menüs das entsprechende Abonnement- und den Log Analytics-Arbeitsbereich aus.

  3. Wählen Sie die Schaltfläche Speichern aus.

    Screenshot of the diagnostics settings with some destination details shown.

Wenn im ausgewählten Zielort nach 15 Minuten keine Protokolle zu sehen sind, melden Sie sich von Azure ab und wieder an, um die Protokolle zu aktualisieren.

Nächste Schritte