Berichterstellungsoptionen für Microsoft Entra-Kennwortverwaltung

Nach einer Bereitstellung möchten viele Organisationen wissen, wie oder ob Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) tatsächlich verwendet wird. Die Berichterstellungsfunktion von Microsoft Entra ID hilft Ihnen bei der Beantwortung von Fragen mit Hilfe von vorgefertigten Berichten. Wenn Sie eine ordnungsgemäße Lizenz haben, können Sie auch benutzerdefinierte Abfragen erstellen.

Reporting on SSPR using the audit logs in Microsoft Entra ID

Die folgenden Fragen können mit den Berichten beantwortet werden, die im Microsoft Entra Admin Center vorhanden sind:

Hinweis

Sie müssen ein globaler Administrator sein, und Sie müssen zustimmen, dass diese Daten im Auftrag Ihrer Organisation erfasst werden. Um zuzustimmen, müssen Sie die Registerkarte Berichterstellung oder die Überwachungsprotokolle mindestens ein Mal öffnen. Bis dahin werden keine Daten für Ihre Organisation erfasst.

  • Wie viele Personen haben sich für die Kennwortzurücksetzung registriert?
  • Wer hat sich für das Zurücksetzen von Kennwörtern registriert?
  • Welche Daten registrieren die Benutzer?
  • Wie viele Personen haben ihre Kennwörter in den letzten sieben Tagen zurückgesetzt?
  • Welche Methoden werden von Benutzern und Administratoren am häufigsten zum Zurücksetzen von Kennwörtern verwendet?
  • Welche Probleme treten häufig für Benutzer oder Administratoren bei dem Versuch auf, das Kennwort zurückzusetzen?
  • Welche Administratoren setzen häufig ihre eigenen Kennwörter zurück?
  • Gibt es verdächtige Aktivitäten beim Zurücksetzen des Kennworts?

Anzeigen von Berichten für die Kennwortverwaltung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Führen Sie die folgenden Schritte aus, um nach den Ereignissen zur Kennwortzurücksetzung und zur Registrierung für die Kennwortzurücksetzung zu suchen:

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.
  2. Wechseln Sie zu Identität>Benutzer.
  3. Wählen Sie auf dem Blatt Benutzer die Option Überwachungsprotokolle aus. Daraufhin werden sämtliche Überwachungsereignisse angezeigt, die für alle Benutzer in Ihrem Verzeichnis aufgetreten sind. Diese Ansicht kann gefiltert werden, um alle kennwortbezogenen Ereignisse anzuzeigen.
  4. Wählen Sie am oberen Rand des Bereichs im Menü Filter die Dropdownliste Dienst aus, und ändern Sie den Diensttyp in Self-Service-Kennwortverwaltung.
  5. Grenzen Sie die Liste optional weiter ein, indem Sie die spezielle Aktivität auswählen, für die Sie sich interessieren.

Kombinierte Registrierung

Ereignisse im Zusammenhang mit der kombinierten Registrierung von Sicherheitsinformationen und der Verwaltung finden Sie in den Überwachungsprotokollen unter Sicherheit>Authentifizierungsmethoden.

Beschreibung der Berichtsspalten

In der folgende Liste werden alle Berichtsspalten im Detail beschrieben:

  • Benutzer: Der Benutzer, der versucht hat, sich für die Kennwortzurücksetzung zu registrieren
  • Rolle: Die Rolle des Benutzers im Verzeichnis
  • Datum und Uhrzeit: Datum und Uhrzeit des Versuchs
  • Registrierte Daten: Die Authentifizierungsdaten, die vom Benutzer während der Registrierung für die Kennwortzurücksetzung bereitgestellt wurden

Die Beschreibung der Berichtswerte

In der folgenden Tabelle sind die verschiedenen Werte beschrieben, die Sie für jede Spalte festlegen können:

Spalte Zulässige Werte und deren Bedeutung
Registrierte Daten Alternative E-Mail-Adresse: Der Benutzer hat eine alternative E-Mail-Adresse oder eine Authentifizierungs-E-Mail zur Authentifizierung verwendet.

Bürotelefon: Der Benutzer hat eine Bürotelefonnummer zur Authentifizierung verwendet.

Mobiltelefon: Der Benutzer hat ein Mobiltelefon oder Authentifizierungstelefon zur Authentifizierung verwendet.

Sicherheitsfragen: Der Benutzer hat Sicherheitsfragen zur Authentifizierung verwendet.

Eine beliebige Kombination der vorherigen Methoden, z.B. alternative E-Mail-Adresse und Mobiltelefon: Tritt auf, wenn eine Richtlinie für die zweistufige Überprüfung angegeben ist, und zeigt, welche beiden Methoden der Benutzer zur Authentifizierung seiner Anforderung zum Zurücksetzen des Kennworts verwendet hat.

Aktivitätstypen für die Self-Service-Kennwortverwaltung

In der Überwachungsereigniskategorie Self-Service-Kennwortverwaltung werden folgende Aktivitätstypen angezeigt:

Aktivitätstyp: Blocked from self-service password reset (Von Self-Service-Kennwortzurücksetzung ausgeschlossen)

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Beschreibung der Aktivität: Gibt an, dass ein Benutzer in den letzten 24 Stunden mindestens fünfmal versucht hat, ein Kennwort zurückzusetzen, ein bestimmtes Gate zu verwenden oder eine Telefonnummer zu bestätigen.
  • Akteur der Aktivität: Der Benutzer, der daran gehindert wurde, weitere Zurücksetzungsvorgänge auszuführen. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der daran gehindert wurde, weitere Zurücksetzungsvorgänge auszuführen. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Benutzer daran gehindert wurde, in den nächsten 24 Stunden weitere Zurücksetzungsvorgänge auszuführen, weitere Authentifizierungsmethoden zu verwenden oder weitere Telefonnummern zu bestätigen.
  • Fehlerursache für den Aktivitätsstatus: Nicht zutreffend

Aktivitätstyp: Change password (self-service) (Kennwort ändern (Self-Service))

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Beschreibung der Aktivität: Gibt an, dass ein Benutzer eine freiwillige oder (wegen Ablauf) erzwungene Kennwortänderung vorgenommen hat.
  • Akteur der Aktivität: Der Benutzer, der sein Kennwort geändert hat Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der sein Kennwort geändert hat Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Benutzer sein Kennwort erfolgreich geändert hat.
    • Fehler: Gibt an, dass ein Benutzer sein Kennwort nicht ändern konnte. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.
  • Fehlerursache für den Aktivitätsstatus:
    • FuzzyPolicyViolationInvalidPassword: Der Benutzer hat ein Kennwort angegeben, das automatisch blockiert wurde, weil die Microsoft-Erkennung für unzulässige Kennwörter das Kennwort als zu allgemein oder als besonders schwach eingestuft hat.

Aktivitätstyp: Reset password (by admin) (Kennwort zurücksetzen (durch Administrator))

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Beschreibung der Aktivität: Gibt an, dass ein Administrator im Auftrag eines Benutzers ein Kennwort zurückgesetzt hat.
  • Akteur der Aktivität: Der Administrator, der das Kennwort im Auftrag eines anderen Endbenutzers oder Administrators zurückgesetzt hat Dabei muss es sich um einen Kennwortadministrator, Benutzeradministrator oder Helpdeskadministrator handeln.
  • Ziel der Aktivität: Der Benutzer, dessen Kennwort zurückgesetzt wurde. Der Benutzer kann ein Endbenutzer oder ein anderer Administrator sein.
  • Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Administrator das Kennwort eines Benutzers erfolgreich zurückgesetzt hat.
    • Fehler: Gibt an, dass ein Administrator das Kennwort eines Benutzers nicht ändern konnte. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.
  • Zusätzliche Details zur Aktivität des OnPremisesAgent:
    • Keine: Gibt eine Zurücksetzung nur in der Cloud an.
    • Microsoft Entra Connect: Gibt an, dass das Kennwort lokal über den Microsoft Entra Connect-Agenten für das Rückschreiben zurückgesetzt wurde.
    • CloudSync: Gibt an, dass das Kennwort lokal über den Microsoft Entra CloudSync-Agent für das Rückschreiben zurückgesetzt wurde.

Aktivitätstyp: Reset password (self-service) (Kennwort zurücksetzen (Self-Service))

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Aktivitätsbeschreibung: Gibt an, dass ein Benutzer sein Kennwort über die Microsoft Entra-Kennwortzurücksetzung erfolgreich zurückgesetzt hat.
  • Akteur der Aktivität: Der Benutzer, der sein Kennwort zurückgesetzt hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der sein Kennwort zurückgesetzt hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Benutzer sein eigenes Kennwort erfolgreich zurückgesetzt hat.
    • Fehler: Gibt an, dass ein Benutzer sein eigenes Kennwort nicht zurücksetzen konnte. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.
  • Fehlerursache für den Aktivitätsstatus:
    • FuzzyPolicyViolationInvalidPassword: Der Administrator hat ein Kennwort angegeben, das automatisch blockiert wurde, weil die Microsoft-Erkennung für unzulässige Kennwörter das Kennwort als zu allgemein oder als besonders schwach eingestuft hat.

Aktivitätstyp: Aktivitätsstatus der Self-Service-Kennwortzurücksetzung

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Beschreibung der Aktivität: Gibt die einzelnen Schritte an, die ein Benutzer im Rahmen der Kennwortzurücksetzung durchläuft, beispielsweise Durchlaufen eines bestimmten Authentifizierungsgates für die Kennwortzurücksetzung.
  • Akteur der Aktivität: Der Benutzer, der einen Teil der Kennwortzurücksetzung ausgeführt hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der einen Teil der Kennwortzurücksetzung ausgeführt hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Benutzer einen bestimmten Schritt der Kennwortzurücksetzung erfolgreich ausgeführt hat.
    • Fehler: Gibt an, dass ein bestimmter Schritt der Kennwortzurücksetzung nicht erfolgreich war. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.
  • Gründe für den Aktivitätsstatus: In der folgenden Tabelle sind alle zulässigen Gründe für den Status einer Zurücksetzungsaktivität aufgeführt.

Aktivitätstyp: Benutzerkonto entsperren (Self-Service)

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Aktivitätsbeschreibung: Gibt an, dass ein Benutzer sein Active Directory-Konto erfolgreich entsperrt hat, ohne sein Kennwort über die Microsoft Entra-Kennwortzurücksetzung zurückzusetzen, indem er das Active Directory-Feature zur Kontoentsperrung ohne Zurücksetzen verwendet hat.
  • Akteur der Aktivität: Der Benutzer, der sein Konto entsperrt hat, ohne das Kennwort zurückzusetzen. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der sein Konto entsperrt hat, ohne das Kennwort zurückzusetzen. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Zulässige Aktivitätsstatus:
    • Erfolg: Gibt an, dass ein Benutzer sein eigenes Konto erfolgreich entsperrt hat.
    • Fehler: Gibt an, dass ein Benutzer sein Konto nicht entsperren konnte. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.

Aktivitätstyp: User registered for self-service password reset (Für Self-Service-Kennwortzurücksetzung registrierter Benutzer)

In der folgenden Liste werden die Details dieser Aktivität erläutert:

  • Beschreibung der Aktivität: Gibt an, dass ein Benutzer alle erforderlichen Informationen registriert hat, um sein Kennwort gemäß der aktuellen Mandantenrichtlinie für die Kennwortzurücksetzung zurückzusetzen.
  • Akteur der Aktivität: Der Benutzer, der sich für die Kennwortzurücksetzung registriert hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Ziel der Aktivität: Der Benutzer, der sich für die Kennwortzurücksetzung registriert hat. Der Benutzer kann ein Endbenutzer oder ein Administrator sein.
  • Zulässige Aktivitätsstatus:
    • Erfolg: Gibt an, dass sich ein Benutzer erfolgreich in Übereinstimmung mit der aktuellen Richtlinie für eine Kennwortzurücksetzung registriert hat.

    • Fehler: Gibt an, dass sich ein Benutzer nicht für die Kennwortzurücksetzung registrieren konnte. Sie können die Zeile auswählen, um die Kategorie Activity Status Reason (Grund für den Aktivitätsstatus) anzuzeigen und mehr darüber zu erfahren, warum der Fehler aufgetreten ist.

      Hinweis

      Fehler bedeutet nicht, dass ein Benutzer sein eigenes Kennwort nicht zurücksetzen kann, sondern bedeutet, dass der Benutzer den Registrierungsvorgang nicht abgeschlossen hat. Wenn das Konto des Benutzers unbestätigte Daten enthält, die korrekt sind, beispielsweise eine noch nicht bestätigte Telefonnummer, können diese weiterhin zum Zurücksetzen des Kennworts verwendet werden, auch wenn die Telefonnummer noch nicht bestätigt wurde.

Nächste Schritte