Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle

Mithilfe von Diagnoseeinstellungen in Microsoft Entra ID können Sie Protokolle in Azure Monitor, Streamprotokolle in einen Event Hub oder Archivprotokolle in ein Speicherkonto integrieren. Sie können mehrere Diagnoseeinstellungen erstellen, um Aktivitätsprotokolle an verschiedene Ziele zu senden.

Dieser Artikel enthält die Schritte zum Konfigurieren von Microsoft Entra-Diagnoseeinstellungen für Aktivitätsprotokolle.

Voraussetzungen

Zum Konfigurieren von Diagnoseeinstellungen benötigen Sie Folgendes:

  • Ein Azure-Abonnement. Falls Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für eine kostenlose Testversion registrieren.
  • Sicherheitsadministratorzugriff zum Erstellen allgemeiner Diagnoseeinstellungen für den Microsoft Entra-Mandanten.
  • Attributprotokolladministratorzugriff zum Erstellen von Diagnoseeinstellungen für Protokolle benutzerdefinierter Sicherheitsattribute.
  • Ziel, das bereits eingerichtet ist. Wenn Sie beispielsweise Protokolle an einen Event Hub streamen möchten, müssen Sie den Event Hub erstellen, bevor Sie die Diagnoseeinstellungen konfigurieren können.

Zugreifen auf Diagnoseeinstellungen

Dieser Artikel enthält die Schritte für den Zugriff auf Diagnoseeinstellungen für die Microsoft Entra-Protokolle. Wenn Sie Diagnoseeinstellungen für Azure Monitor- oder Azure-Ressourcen außerhalb von Microsoft Entra ID konfigurieren müssen, lesen Sie den Artikel zu Diagnoseeinstellungen in Azure Monitor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Überwachung & Integrität>Diagnoseeinstellungen. Die Einstellungen zu Allgemein werden standardmäßig angezeigt.

  3. Alle vorhandenen Diagnoseeinstellungen werden in der Tabelle angezeigt. Wählen Sie entweder Einstellungen bearbeiten zum Ändern einer vorhandenen Einstellung oder Diagnoseeinstellung hinzufügen zum Erstellen einer neuen Einstellung aus.

    Screenshot der Seite „Microsoft Entra-Diagnoseeinstellungen“

Benutzerdefinierte Sicherheitsattribute

Die Protokolle für benutzerdefinierte Sicherheitsattribute sind eine Teilmenge der Standardüberwachungsprotokolle. Damit Sie Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erstellen und konfigurieren können, muss Ihnen die Rolle Attributprotokolladministrator zugewiesen sein. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Sicherheitsattributen.

Um Diagnoseeinstellungen für Überwachungsprotokolle benutzerdefinierter Sicherheitsattribute zu konfigurieren, wählen Sie Benutzerdefinierte Sicherheitsattribute aus. Der Prozess zum Konfigurieren von Diagnoseeinstellungen ist für beide Protokollkategorien identisch.

Screenshot der Seite mit den benutzerdefinierten Sicherheitsattributen für die Diagnoseeinstellungen.

Tipp

Microsoft empfiehlt, dass Sie Ihre Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute getrennt von Ihren Verzeichnisüberwachungsprotokollen aufbewahren, damit Attributzuweisungen nicht versehentlich angezeigt werden.

Auswählen der Protokolle und des Ziels

Wenn Sie eine Diagnoseeinstellung erstellen oder bearbeiten, können Sie auswählen, welche Protokolle einbezogen und wohin diese gesendet werden sollen.

Protokollkategorien

Sie können ein verfügbares Protokoll, mehrere oder alle verfügbaren Protokolle auswählen. Einige Protokolle sind möglicherweise Teil einer Previewfunktion. Auch wenn Sie eine Protokollkategorie auswählen, werden ggf. keine Daten angezeigt, bis die Funktion allgemein verfügbar ist. Eine Beschreibung der verfügbaren Protokolle finden Sie unter Welche Identitätsprotokolle können Sie an einen Endpunkt streamen?.

Screenshot der Protokollkategorien in den Diagnoseeinstellungen.

Zieldetails

Sie können Protokolle an einen Log Analytics-Arbeitsbereich senden, Protokolle an einen Event Hub streamen oder Protokolle in einem Speicherkonto archivieren. Derzeit stellen Azure Native ISV-Dienste die einzige unterstützte Partnerlösung dar. Weitere Informationen finden Sie unter Übersicht über Azure Native ISV-Dienste.

Um Ihre Protokolle an eines der Ziele zu senden, müssen Sie dieses Ziel bereits konfiguriert haben.

Wenn Sie ein Ziel auswählen, werden weitere Felder angezeigt. Wählen Sie das entsprechende Abonnement und das entsprechende Ziel in den angezeigten Feldern aus.

Screenshot der Zieloptionen in den Diagnoseeinstellungen.

Ausführliche Informationen zum Konfigurieren von Diagnoseeinstellungen für ein bestimmtes Ziel finden Sie in den folgenden Artikeln:

Basic-Prozess

Die grundlegenden Schritte zum Konfigurieren von Diagnoseeinstellungen lauten wie folgt:

  1. Um eine neue Diagnoseeinstellung zu erstellen, wählen Sie Diagnoseeinstellung hinzufügen aus.

  2. Geben Sie einen Namen ein.

  3. Wählen Sie die Protokolle aus, die Sie einbeziehen möchten.

  4. Wählen Sie die Ziele aus, an die Sie die Protokolle senden möchten.

  5. Wählen Sie das Abonnement und das Ziel aus den angezeigten Dropdownmenüs aus.

  6. Wählen Sie die Schaltfläche Speichern aus.

    Screenshot der Seite „Diagnoseeinstellungen erstellen“ mit mehreren für den Wechsel zu einem Log Analytics-Arbeitsbereich ausgewählten Protokollen.

Hinweis

Es kann bis zu drei Tage dauern, bis die Protokolle am Ziel angezeigt werden.