Was sind Microsoft Entra-Überwachungsprotokolle?
Microsoft Entra-Aktivitätsprotokolle enthalten Überwachungsprotokolle. Dies ist ein umfassender Bericht über jedes protokollierte Ereignis in Microsoft Entra ID. Sämtliche Änderungen an Anwendungen, Gruppen, Benutzern und Lizenzen werden in den Microsoft Entra-Überwachungsprotokollen erfasst.
Es gibt noch zwei weitere Aktivitätsprotokolle, mit denen Sie die Integrität Ihres Mandanten überwachen können:
- Anmeldungen: Informationen zu Anmeldungen und zur Verwendung Ihrer Ressourcen durch Ihre Benutzer.
- Bereitstellung: Vom Bereitstellungsdienst ausgeführte Aktivitäten, z. B. die Erstellung einer Gruppe in ServiceNow oder der Import eines Benutzers aus Workday.
In diesem Artikel finden Sie eine Übersicht über die Überwachungsprotokolle, einschließlich der erforderlichen Informationen für den Zugriff darauf und welche Informationen bereitgestellt werden.
Lizenz- und Rollenanforderungen
Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.
| Protokoll/Bericht | Rollen | Lizenzen |
|---|---|---|
| Überwachungsprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Alle Editionen von Microsoft Entra ID |
| Anmeldeprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Alle Editionen von Microsoft Entra ID |
| Bereitstellungsprotokolle | Berichtleseberechtigter Sicherheitsleseberechtigter Anwendungsadministrator Cloud-App-Administrator*in |
Microsoft Entra ID P1 oder P2 |
| Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* | Attributprotokolladministrator Attributprotokollleser |
Alle Editionen von Microsoft Entra ID |
| Integrität | Berichtleseberechtigter Sicherheitsleseberechtigter Helpdeskadministrator |
Microsoft Entra ID P1 oder P2 |
| Microsoft Entra ID Protection** | Sicherheitsadministrator Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 oder P2 |
| Microsoft Graph-Aktivitätsprotokolle | Sicherheitsadministrator Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel |
Microsoft Entra ID P1 oder P2 |
| Nutzung und Erkenntnisse | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Microsoft Entra ID P1 oder P2 |
*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.
**Die Zugriffsebene und die Funktionen für Microsoft Entra ID Protection variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für ID Protection.
Was können Sie mit Überwachungsprotokollen erreichen?
Die Überwachungsprotokolle in Microsoft Entra ID bieten Zugriff auf Datensätze zu Systemaktivitäten, die häufig aus Compliancegründen benötigt werden. Sie können Antworten auf Fragen zu Benutzern, Gruppen und Anwendungen erhalten.
Benutzer:
- Welche Arten von Änderungen wurden kürzlich auf Benutzer angewendet?
- Wie viele Benutzer wurden geändert?
- Wie viele Kennwörter wurden geändert?
Gruppen:
- Welche Gruppen wurden kürzlich hinzugefügt?
- Haben sich die Besitzer der Gruppe geändert?
- Welche Lizenzen sind für einen Benutzer oder eine Gruppe?
Anwendungen:
- Welche Anwendungen wurden aktualisiert oder entfernt?
- Hat sich ein Dienstprinzipal für eine Anwendung geändert?
- Haben sich die Namen von Anwendungen geändert?
Benutzerdefinierte Sicherheitsattribute:
- Welche Änderungen wurden an den Definitionen oder Zuweisungen von benutzerdefinierten Sicherheitsattributen vorgenommen?
- Welche Aktualisierungen wurden an Attributsätzen vorgenommen?
- Welche benutzerdefinierten Attributwerte wurden Benutzer*innen zugewiesen?
Hinweis
Einträge im Überwachungsprotokoll werden vom System generiert und können nicht geändert oder gelöscht werden.
Was zeigen die Protokolle?
Überwachungsprotokolle werden standardmäßig auf der Registerkarte Verzeichnis angezeigt, auf der die folgenden Informationen enthalten sind:
- Datum und Uhrzeit des Auftretens
- Dienst, der das Vorkommen protokolliert hat
- Kategorie und Name der Aktivität (Was)
- Status der Aktivität (Erfolg oder Fehler)
Auf der zweiten Registerkarte Benutzerdefinierte Sicherheit werden Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute angezeigt. Um Daten auf dieser Registerkarte anzuzeigen, müssen Sie über die Rolle Attributprotokolladministrator oder Attributprotokollleser verfügen. Dieses Überwachungsprotokoll zeigt alle Aktivitäten im Zusammenhang mit benutzerdefinierten Sicherheitsattributen an. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Sicherheitsattributen.
Microsoft 365-Aktivitätsprotokolle
Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Auch wenn Microsoft 365-Aktivitätsprotokolle und Microsoft Entra-Aktivitätsprotokolle viele Verzeichnisressourcen gemeinsam nutzen, bietet nur das Microsoft 365 Admin Center einen vollständigen Überblick über die Microsoft 365-Aktivitätsprotokolle.
Mithilfe der Office 365-Verwaltungs-APIs können Sie auch programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen.
Die meisten eigenständigen oder kombinierten Microsoft 365-Abonnements weisen Back-End-Abhängigkeiten von einigen Subsystemen innerhalb der Microsoft 365-Rechenzentrumsgrenze auf. Aufgrund dieser Abhängigkeiten ist das Rückschreiben einiger Informationen erforderlich, um die Verzeichnisse synchron zu halten und ein problemloses Onboarding in einem Abonnement-Opt-In für Exchange Online zu ermöglichen. Für dieses Rückschreiben werden in Überwachungsprotokolleinträgen Aktionen angezeigt, die von „Microsoft Substrate Management“ durchgeführt wurden. Diese Überwachungsprotokolleinträge beziehen sich auf Vorgänge zum Erstellen/Aktualisieren/Löschen, die von Exchange Online für Microsoft Entra ID ausgeführt wurden. Die Einträge dienen lediglich zur Information und erfordern keine Aktion.