So passen Sie Identitätsaktivitätsprotokolle an und filtern Sie sie

Anmeldeprotokolle sind ein häufig verwendetes Tool, um Benutzerzugriffsprobleme zu beheben und riskante Anmeldeaktivitäten zu untersuchen. Überwachungsprotokolle erfassen jedes protokollierte Ereignis in Microsoft Entra ID und können verwendet werden, um Änderungen an Ihrer Umgebung zu untersuchen. Es gibt mehr als 30 Spalten, aus denen Sie auswählen können, um Ihre Ansicht der Anmeldeprotokolle im Microsoft Entra Admin Center anzupassen. Überwachungsprotokolle und Bereitstellungsprotokolle können auch angepasst und nach Ihren Anforderungen gefiltert werden.

In diesem Artikel erfahren Sie, wie Sie die Spalten anpassen und dann die Protokolle filtern, um die benötigten Informationen effizienter zu finden.

Voraussetzungen

Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Protokoll/Bericht Rollen Lizenzen
Überwachungsprotokolle Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Alle Editionen von Microsoft Entra ID
Anmeldeprotokolle Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Alle Editionen von Microsoft Entra ID
Bereitstellungsprotokolle Berichtleseberechtigter
Sicherheitsleseberechtigter
Anwendungsadministrator
Cloud-App-Administrator*in
Microsoft Entra ID P1 oder P2
Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* Attributprotokolladministrator
Attributprotokollleser
Alle Editionen von Microsoft Entra ID
Gesundheit Berichtleseberechtigter
Sicherheitsleseberechtigter
Helpdeskadministrator
Microsoft Entra ID P1 oder P2
Microsoft Entra ID Protection** Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter
Globaler Leser
Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 oder P2
Microsoft Graph-Aktivitätsprotokolle Sicherheitsadministrator
Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel
Microsoft Entra ID P1 oder P2
Nutzung und Erkenntnisse Berichtleseberechtigter
Sicherheitsleseberechtigter
Sicherheitsadministrator
Microsoft Entra ID P1 oder P2

*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.

**Die Zugriffsebene und die Funktionen für Microsoft Entra ID Protection variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für ID Protection.

Zugreifen auf die Aktivitätsprotokolle im Microsoft Entra Admin Center

Sie können jederzeit unter https://mysignins.microsoft.com auf Ihren eigenen Anmeldeverlauf zugreifen. Sie können auch in Microsoft Entra ID über Benutzer und Unternehmensanwendungen auf die Anmeldeprotokolle zugreifen.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Navigieren Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle/Anmeldeprotokolle/Bereitstellungsprotokolle.

Durch die Informationen in den Microsoft Entra-Überwachungsprotokollen können Sie auf alle Datensätze mit Systemaktivitäten zu Compliancezwecken zugreifen. Auf Überwachungsprotokolle kann im Abschnitt Überwachung und Integrität in Microsoft Entra ID zugegriffen werden, in dem Sie jede Kategorie und Aktivität sortieren und filtern können. Sie können auch auf Überwachungsprotokolle im Bereich des Admin Centers für den Dienst zugreifen, den Sie untersuchen.

Screenshot der Option „Überwachungsprotokolle“ im Seitenmenü.

Wenn Sie beispielsweise Änderungen an Microsoft Entra-Gruppen untersuchen, können Sie über Microsoft Entra ID>Gruppen auf die Überwachungsprotokolle zugreifen. Wenn Sie über den Dienst auf die Überwachungsprotokolle zugreifen, wird der Filter automatisch entsprechend dem Dienst angepasst.

Screenshot der Option „Überwachungsprotokolle“ im Menü „Gruppen“.

Anpassen des Layouts der Überwachungsprotokolle

Sie können die Spalten in den Überwachungsprotokollen so anpassen, dass nur die benötigten Informationen angezeigt werden. Die Spalten Dienst, Kategorie und Aktivität sind miteinander verknüpft, sodass diese Spalten immer sichtbar sein sollten.

Screenshot der Schaltfläche „Spalten“ für die Überwachungsprotokolle.

Filtern des Überwachungsprotokolls

Wenn Sie die Protokolle nach Dienst filtern, ändern sich die Details zu Kategorie und Aktivität automatisch. In einigen Fällen gibt es möglicherweise nur eine Kategorie oder Aktivität. Eine detaillierte Tabelle aller möglichen Kombinationen dieser Details finden Sie unter Überwachungsaktivitäten.

Screenshot des Filters für Überwachungsprotokolle mit bedingtem Zugriff als Dienst.

  • Dienst: Standardmäßig werden alle verfügbaren Dienste angezeigt, aber Sie können die Liste auf einen oder mehrere Dienste einschränken, indem Sie eine Option aus der Dropdownliste auswählen.

  • Kategorie: Standardmäßig werden alle Kategorien angezeigt. Sie können jedoch filtern, um die Kategorie einer Aktivität anzuzeigen, z. B. das Ändern einer Richtlinie oder das Aktivieren einer berechtigten Microsoft Entra-Rolle.

  • Aktivität: Dieser Filter basiert auf der von Ihnen getroffenen Auswahl für die Kategorie und den Aktivitätsressourcentyp. Sie können entweder eine bestimmte Aktivität verwenden oder alle auswählen.

    Sie können die Liste aller Überwachungsaktivitäten mithilfe der Microsoft Graph-API abrufen: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Status: Hier können Sie sehen, ob die Aktivität erfolgreich war oder nicht.

  • Ziel: Ermöglicht es Ihnen, nach dem Ziel oder Empfänger einer Aktivität zu suchen. Suchen Sie nach den Anfangsbuchstaben eines Namens oder eines Benutzerprinzipalnamens (UPN). Bei dem Zielnamen und dem UPN wird die Groß- und Kleinschreibung berücksichtigt.

  • Initiiert von: Sie können anhand der Anfangsbuchstaben des Namens oder des UPN nach dem Benutzer suchen, der die Aktivität initiiert hat. Bei dem Namen und dem UPN wird die Groß- und Kleinschreibung berücksichtigt.

  • Datumsbereich: Mit diesem Filter können Sie einen Zeitrahmen für die zurückgegebenen Daten festlegen. Sie können die letzten 7 Tage, 24 Stunden oder einen benutzerdefinierten Bereich durchsuchen. Beim Auswählen eines benutzerdefinierten Zeitraums können Sie eine Startzeit und eine Endzeit konfigurieren.

Nächste Schritte