Was sind Microsoft Entra-Überwachungsprotokolle?

Microsoft Entra-Aktivitätsprotokolle enthalten Überwachungsprotokolle. Dies ist ein umfassender Bericht über jedes protokollierte Ereignis in Microsoft Entra ID. Sämtliche Änderungen an Anwendungen, Gruppen, Benutzern und Lizenzen werden in den Microsoft Entra-Überwachungsprotokollen erfasst.

Es gibt noch zwei weitere Aktivitätsprotokolle, mit denen Sie die Integrität Ihres Mandanten überwachen können:

  • Anmeldungen : Informationen zu Anmeldungen und zur Verwendung Ihrer Ressourcen durch Ihre Benutzer.
  • Bereitstellung: Vom Bereitstellungsdienst ausgeführte Aktivitäten, z. B. die Erstellung einer Gruppe in ServiceNow oder der Import eines Benutzers aus Workday.

In diesem Artikel finden Sie eine Übersicht über die Überwachungsprotokolle, z. B. die von ihnen bereitgestellten Informationen und welche Arten von Fragen sie beantworten können.

Was können Sie mit Überwachungsprotokollen erreichen?

Die Überwachungsprotokolle in Microsoft Entra bieten Zugriff auf Datensätze zu Systemaktivitäten, die häufig aus Compliancegründen benötigt werden. Sie können Antworten auf Fragen zu Benutzern, Gruppen und Anwendungen erhalten.

Benutzer:

  • Welche Arten von Änderungen wurden kürzlich auf Benutzer angewendet?
  • Wie viele Benutzer wurden geändert?
  • Wie viele Kennwörter wurden geändert?

Gruppen:

  • Welche Gruppen wurden kürzlich hinzugefügt?
  • Haben sich die Besitzer der Gruppe geändert?
  • Welche Lizenzen sind für einen Benutzer oder eine Gruppe?

Anwendungen:

  • Welche Anwendungen wurden aktualisiert oder entfernt?
  • Hat sich ein Dienstprinzipal für eine Anwendung geändert?
  • Haben sich die Namen von Anwendungen geändert?

Benutzerdefinierte Sicherheitsattribute:

  • Welche Änderungen wurden an den Definitionen oder Zuweisungen von benutzerdefinierten Sicherheitsattributen vorgenommen?
  • Welche Aktualisierungen wurden an Attributsätzen vorgenommen?
  • Welche benutzerdefinierten Attributwerte wurden Benutzer*innen zugewiesen?

Hinweis

Einträge im Überwachungsprotokoll werden vom System generiert und können nicht geändert oder gelöscht werden.

Was zeigen die Protokolle?

Überwachungsprotokolle werden standardmäßig auf der Registerkarte Verzeichnis angezeigt, auf der die folgenden Informationen enthalten sind:

  • Datum und Uhrzeit des Auftretens
  • Dienst, der das Vorkommen protokolliert hat
  • Kategorie und Name der Aktivität (Was)
  • Status der Aktivität (Erfolg oder Fehler)

Auf der zweiten Registerkarte Benutzerdefinierte Sicherheit werden Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute angezeigt. Um Daten auf dieser Registerkarte anzuzeigen, müssen Sie über die Rolle Attributprotokolladministrator oder Attributprotokollleser verfügen. Dieses Überwachungsprotokoll zeigt alle Aktivitäten im Zusammenhang mit benutzerdefinierten Sicherheitsattributen an. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Sicherheitsattributen.

Screenshot der Überwachungsprotokolle, wobei die Registerkarten Verzeichnis und Benutzerdefinierte Sicherheit hervorgehoben sind.

Microsoft 365-Aktivitätsprotokolle

Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Auch wenn Microsoft 365-Aktivitätsprotokolle und Microsoft Entra-Aktivitätsprotokolle viele Verzeichnisressourcen gemeinsam nutzen, bietet nur das Microsoft 365 Admin Center einen vollständigen Überblick über die Microsoft 365-Aktivitätsprotokolle.

Mithilfe der Office 365-Verwaltungs-APIs können Sie auch programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen.

Die meisten eigenständigen oder kombinierten Microsoft 365-Abonnements weisen Back-End-Abhängigkeiten von einigen Subsystemen innerhalb der Microsoft 365-Rechenzentrumsgrenze auf. Aufgrund dieser Abhängigkeiten ist das Rückschreiben einiger Informationen erforderlich, um die Verzeichnisse synchron zu halten und ein problemloses Onboarding in einem Abonnement-Opt-In für Exchange Online zu ermöglichen. Für dieses Rückschreiben werden in Überwachungsprotokolleinträgen Aktionen angezeigt, die von „Microsoft Substrate Management“ durchgeführt wurden. Diese Überwachungsprotokolleinträge beziehen sich auf Vorgänge zum Erstellen/Aktualisieren/Löschen, die von Exchange Online für Microsoft Entra ID ausgeführt wurden. Die Einträge dienen lediglich zur Information und erfordern keine Aktion.