Berichte zu Anmeldeaktivitäten im Azure Active Directory-PortalSign-in activity reports in the Azure Active Directory portal

Die Architektur für die Berichterstellung in Azure Active Directory (Azure AD) umfasst die folgenden Komponenten:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • AktivitätActivity
    • Anmeldungen: Informationen zur Nutzung von verwalteten Anwendungen und Aktivitäten der Benutzeranmeldung.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Überwachungsprotokolle - Überwachungsprotokolle stellen Systemaktivitätsinformationen zu Benutzern und zur Gruppenverwaltung, zu verwalteten Anwendungen und zu Verzeichnisaktivitäten bereit.Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
  • SecuritySecurity
    • Riskante Anmeldungen: Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch von einem Benutzer, der nicht der rechtmäßige Besitzer eines Benutzerkontos ist.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • Benutzer mit Risikomarkierung: Ein Benutzer mit Risikomarkierung ist ein Indikator für ein ggf. kompromittiertes Benutzerkonto.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

In diesem Artikel erhalten Sie einen Überblick über den Bericht zu Anmeldeaktivitäten.This article gives you an overview of the sign-ins report.

VoraussetzungenPrerequisites

Wer kann auf die Daten zugreifen?Who can access the data?

  • Benutzer mit den Rollen „Sicherheitsadministrator“, „Globaler Leser“, „Sicherheitsleseberechtigter“ und „Berichtsleser“Users in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • Globale AdministratorenGlobal Administrators
  • Jeder Benutzer (Nicht-Administratoren) kann auf seine eigenen Anmeldungen zugreifen.Any user (non-admins) can access their own sign-ins

Welche Azure AD-Lizenz benötigen Sie für den Zugriff auf die Anmeldeaktivität?What Azure AD license do you need to access sign-in activity?

Bericht zu AnmeldeaktivitätenSign-ins report

Der Bericht zu Anmeldeaktivitäten enthält Antworten auf die folgenden Fragen:The user sign-ins report provides answers to the following questions:

  • Wie sieht das Anmeldemuster eines Benutzers aus?What is the sign-in pattern of a user?
  • Wie viele Benutzer haben sich im Laufe einer Woche angemeldet?How many users have signed in over a week?
  • Wie lautet der Status dieser Anmeldungen?What’s the status of these sign-ins?

Wählen Sie im Menü im Azure-Portal die Option Azure Active Directory aus. Sie können auch auf einer beliebigen Seite Azure Active Directory suchen und auswählen.On the Azure portal menu, select Azure Active Directory, or search for and select Azure Active Directory from any page.

Auswählen von Azure Active DirectorySelect Azure Active Directory

Wählen Sie unter Überwachung die Option Anmeldungen aus, um den Bericht zu Anmeldeaktivitäten zu öffnen.Under Monitoring, select Sign-ins to open the Sign-ins report.

AnmeldeaktivitätSign-in activity

Es kann bei einigen Anmeldedatensätzen bis zu zwei Stunden dauern, bis sie im Portal angezeigt werden.It may take up to two hours for some sign-in records to show up in the portal.

Wichtig

Im Bericht zu Anmeldeaktivitäten werden nur die interaktiven Anmeldungen angezeigt, also Anmeldungen, bei denen sich ein Benutzer manuell mit seinem Benutzernamen und Kennwort anmeldet.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. Nicht interaktive Anmeldungen wie Dienst-zu-Dienst-Authentifizierungen werden im Bericht zu Anmeldeaktivitäten nicht angezeigt.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

Ein Anmeldungsprotokoll enthält eine Standardlistenansicht mit folgenden Informationen:A sign-ins log has a default list view that shows:

  • AnmeldedatumThe sign-in date
  • Zugehöriger BenutzerThe related user
  • Die Anwendung, bei der sich der Benutzer angemeldet hatThe application the user has signed in to
  • AnmeldestatusThe sign-in status
  • Status der RisikoerkennungThe status of the risk detection
  • Status der MFA-Anforderung (Multi-Factor Authentication)The status of the multi-factor authentication (MFA) requirement

AnmeldeaktivitätSign-in activity

Sie können die Listenansicht anpassen, indem Sie in der Symbolleiste auf Spalten klicken.You can customize the list view by clicking Columns in the toolbar.

AnmeldeaktivitätSign-in activity

Im Dialogfeld Spalten erhalten Sie Zugriff auf die auswählbaren Attribute.The Columns dialog gives you access to the selectable attributes. In einem Bericht zu Anmeldeaktivitäten dürfen keine Felder enthalten sein, die mehr als einen Wert für eine beliebige Anmeldeanforderung als Spalte aufweisen.In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. Dies gilt beispielsweise für Authentifizierungsdetails, Daten zum bedingten Zugriff und den Netzwerkspeicherort.This is, for example, true for authentication details, conditional access data and network location.

AnmeldeaktivitätSign-in activity

Wählen Sie in der Listenansicht ein Element aus, um ausführlichere Informationen zu erhalten.Select an item in the list view to get more detailed information.

AnmeldeaktivitätSign-in activity

Hinweis

Benutzer können nun in allen Anmeldeberichten Probleme mit Richtlinien für bedingten Zugriff beheben.Customers can now troubleshoot Conditional Access policies through all sign-in reports. Durch Klicken auf die Registerkarte Bedingter Zugriff eines Anmeldedatensatzes können Benutzer den Status des bedingten Zugriffs überprüfen und die Richtliniendetails für die Anmeldung sowie die jeweiligen Richtlinienergebnisse ansehen.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. Weitere Informationen finden Sie in den häufig gestellten Fragen zum bedingten Zugriff in allen Anmeldungen.For more information, see the Frequently asked questions about CA information in all sign-ins.

Filtern von AnmeldeaktivitätenFilter sign-in activities

Zuerst schränken Sie die gemeldeten Daten auf einen Umfang ein, der für Sie geeignet ist.First, narrowing down the reported data to a level that works for you. Filtern Sie die Anmeldedaten anschließend mit dem Datumsfeld als Standardfilter.Second, filter sign-ins data using date field as default filter. Azure AD bietet eine breite Palette zusätzlicher Filter, die Sie festlegen können:Azure AD provides you with a broad range of additional filters you can set:

AnmeldeaktivitätSign-in activity

Anforderungs-ID- : ID der Anforderung, die Sie interessiert.Request ID - The ID of the request you care about.

Benutzer: Name oder Benutzerprinzipalname des Benutzers, der Sie interessiert.User - The name or the user principal name (UPN) of the user you care about.

Anwendung: Name der Zielanwendung.Application - The name of the target application.

Status: der Anmeldestatus, der Sie interessiert:Status - The sign-in status you care about:

  • ErfolgSuccess

  • FehlerFailure

  • UnterbrochenInterrupted

IP-Adresse: IP-Adresse des Geräts, mit dem die Verbindung mit Ihrem Mandanten hergestellt wird.IP address - The IP address of the device used to connect to your tenant.

Standort: Standort, von dem aus die Verbindung eingeleitet wurde:The Location - The location the connection was initiated from:

  • CityCity

  • Bundesland/KantonState / Province

  • Land/RegionCountry/Region

Ressource: Name des Diensts, der für die Anmeldung verwendet wird.Resource - The name of the service used for the sign-in.

Ressourcen-ID: ID des Diensts, der für die Anmeldung verwendet wird.Resource ID - The ID of the service used for the sign-in.

Client-App: Typ der Client-App, die zum Herstellen einer Verbindung mit Ihrem Mandanten verwendet wird:Client app - The type of the client app used to connect to your tenant:

Client-App-Filter

NameName Moderne AuthentifizierungModern authentication BESCHREIBUNGDescription
Authentifiziertes SMTPAuthenticated SMTP Wird von POP- und IMAP-Clients zum Senden von E-Mails verwendet.Used by POP and IMAP client's to send email messages.
AutoErmittlungAutodiscover Wird von Outlook- und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und eine Verbindung damit herzustellen.Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
Exchange ActiveSyncExchange ActiveSync Dieser Filter zeigt alle Anmeldeversuche, bei denen das EAS-Protokoll versucht wurde.This filter shows all sign-in attempts where the EAS protocol has been attempted.
BrowserBrowser Prüfen Zeigt alle Anmeldeversuche von Benutzern über WebbrowserShows all sign-in attempts from users using web browsers
Exchange ActiveSyncExchange ActiveSync Zeigt alle Anmeldeversuche von Benutzern mit Client-Apps, die Exchange ActiceSync zur Herstellung einer Verbindung mit Exchange Online verwendenShows all sign-in attempts from users with client apps using Exchange ActiceSync to connect to Exchange Online
Exchange Online PowerShellExchange Online PowerShell Wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet.Used to connect to Exchange Online with remote PowerShell. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen.If you block basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell module to connect. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
Exchange-WebdiensteExchange Web Services Eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wird.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
IMAP4IMAP4 Älterer E-Mail-Client, der IMAP zum Abrufen von E-Mails verwendet.A legacy mail client using IMAP to retrieve email.
MAPI über HTTPMAPI over HTTP Wird von Outlook 2010 und höher verwendet.Used by Outlook 2010 and later.
Mobile Apps und Desktop-AppsMobile apps and desktop clients Prüfen Zeigt alle Anmeldeversuche von Benutzern mithilfe von mobilen Anwendungen und Desktopclients.Shows all sign-in attempts from users using mobile apps and desktop clients.
OfflineadressbuchOffline Address Book Eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden.A copy of address list collections that are downloaded and used by Outlook.
Outlook Anywhere (RPC über HTTP)Outlook Anywhere (RPC over HTTP) Wird bis Outlook 2016 verwendet.Used by Outlook 2016 and earlier.
Outlook-DienstOutlook Service Wird von der Mail- und Kalender-App für Windows 10 verwendet.Used by the Mail and Calendar app for Windows 10.
POP3POP3 Älterer E-Mail-Client, der POP3 zum Abrufen von E-Mails verwendet.A legacy mail client using POP3 to retrieve email.
Reporting Web ServicesReporting Web Services Wird zum Abrufen von Berichtsdaten in Exchange Online verwendet.Used to retrieve report data in Exchange Online.
Andere ClientsOther clients Zeigt alle Anmeldeversuche von Benutzern, bei denen die Client-App nicht inbegriffen oder unbekannt ist.Shows all sign-in attempts from users where the client app is not included or unknown.

Betriebssystem: das Betriebssystem, das auf dem Gerät ausgeführt wird, mit dem die Anmeldung bei Ihrem Mandanten erfolgt.Operating system - The operating system running on the device used sign-on to your tenant.

Gerätebrowser: Wenn die Verbindung in einem Browser eingeleitet wurde, können Sie in diesem Feld nach Browsername filtern.Device browser - If the connection was initiated from a browser, this field enables you to filter by browser name.

Korrelations-ID: Korrelations-ID der Aktivität.Correlation ID - The correlation ID of the activity.

Bedingter Zugriff: Status der angewendeten Regeln für bedingten ZugriffConditional access - The status of the applied conditional access rules

  • Nicht angewendet: Keine Richtlinie betraf den Benutzer und die Anwendung bei der Anmeldung.Not applied: No policy applied to the user and application during sign-in.

  • Erfolg: Eine oder mehrere Richtlinien für bedingten Zugriff betrafen den Benutzer und die Anwendung (aber nicht notwendigerweise die anderen Bedingungen) bei der Anmeldung.Success: One or more conditional access policies applied to the user and application (but not necessarily the other conditions) during sign-in.

  • Fehler: Die Anmeldung hat zwar die Benutzer- und Anwendungsbedingung mindestens einer Richtlinie für bedingten Zugriff erfüllt, die Gewährungssteuerelemente wurden jedoch nicht erfüllt oder sind auf Blockieren des Zugriffs eingestellt.Failure: The sign-in satisfied the user and application condition of at least one Conditional Access policy and grant controls are either not satisfied or set to block access.

Herunterladen von AnmeldeaktivitätenDownload sign-in activities

Durch Klicken auf die Option Herunterladen können Sie eine CSV- oder JSON-Datei der letzten 250.000 Datensätze erstellen.Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Beginnen Sie damit, Daten zu Anmeldungen herunterzuladen, wenn Sie sie außerhalb des Azure-Portals verwenden möchten.Start with download the sign-ins data if you want to work with it outside the Azure portal.

DownloadDownload

Wichtig

Die Anzahl von Datensätzen, die Sie herunterladen können, ist durch die Aufbewahrungsrichtlinien für Azure Active Directory-Berichte eingeschränkt.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Tastenkombinationen für AnmeldedatenSign-ins data shortcuts

Azure AD und das Azure-Portal enthalten weitere Einstiegspunkte für Anmeldedaten:Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • Übersicht über Identitätssicherheit und SchutzThe Identity security protection overview
  • BenutzerUsers
  • GruppenGroups
  • UnternehmensanwendungenEnterprise applications

Benutzeranmeldedaten für Identitätssicherheit und SchutzUsers sign-ins data in Identity security protection

Mit dem Graphen für Benutzeranmeldungen auf der Übersichtsseite Identitätssicherheit und Schutz werden wöchentliche Aggregationen der Anmeldungen angezeigt. Die Standardeinstellung für den Zeitraum beträgt 30 Tage.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

AnmeldeaktivitätSign-in activity

Wenn Sie im Anmeldungsgraph auf einen Tag klicken, wird eine Übersicht über die Anmeldeaktivitäten für den entsprechenden Tag angezeigt.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

Jede Zeile in der Liste mit den Anmeldeaktivitäten zeigt Folgendes:Each row in the sign-in activities list shows:

  • Wer hat sich angemeldet?Who has signed in?
  • Welche Anwendung war das Ziel der Anmeldung?What application was the target of the sign-in?
  • Welchen Status hat die Anmeldung?What is the status of the sign-in?
  • Welchen MFA-Status hat die Anmeldung?What is the MFA status of the sign-in?

Durch Klicken auf ein Element können Sie ausführlichere Informationen zum entsprechenden Anmeldevorgang anzeigen:By clicking an item, you get more details about the sign-in operation:

  • Benutzer-IDUser ID
  • BenutzerUser
  • UsernameUsername
  • Anwendungs-IDApplication ID
  • ApplicationApplication
  • ClientClient
  • PositionLocation
  • IP-AdresseIP address
  • DateDate
  • MFA erforderlichMFA Required
  • AnmeldestatusSign-in status

Hinweis

IP-Adressen werden so ausgestellt, dass es keine definitive Verbindung zwischen einer IP-Adresse und dem physischen Standort des Computers mit dieser Adresse gibt.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. Das Zuordnen von IP-Adressen wird außerdem durch Faktoren wie Mobilfunkanbieter und VPNs verkompliziert, die IP-Adressen aus zentralen Pools zuweisen, die oft sehr weit von den Orten entfernt sind, an denen das Clientgerät tatsächlich verwendet wird.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. Derzeit erfolgt das Konvertieren einer IP-Adresse in einen physischen Standort basierend auf Ablaufverfolgungen, Registrierungsdaten, umgekehrten Suchvorgängen und anderen Informationen.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

Wenn Sie auf der Seite Benutzer im Abschnitt Aktivität auf Anmeldevorgänge klicken, wird eine umfassenden Übersicht über alle Benutzeranmeldungen angezeigt.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

AnmeldeaktivitätSign-in activity

Nutzung von verwalteten AnwendungenUsage of managed applications

Mit einer anwendungsorientierten Ansicht Ihrer Anmeldedaten können Sie beispielsweise folgende Fragen beantworten:With an application-centric view of your sign-in data, you can answer questions such as:

  • Wer verwendet meine Anwendungen?Who is using my applications?
  • Welche drei Anwendungen sind in Ihrer Organisation am beliebtesten?What are the top three applications in your organization?
  • Wie arbeitet meine neueste Anwendung?How is my newest application doing?

Der Einstiegspunkt für diese Daten sind die drei wichtigsten Anwendungen in Ihrer Organisation.The entry point to this data is the top three applications in your organization. Die Daten sind im Bericht über die letzten 30 Tage im Abschnitt Übersicht unter Unternehmensanwendungen enthalten.The data is contained within the last 30 days report in the Overview section under Enterprise applications.

AnmeldeaktivitätSign-in activity

Der Graph zur App-Nutzung gibt die wöchentlichen Aggregationen von Anmeldungen für Ihre beliebtesten drei Anwendungen in einem bestimmten Zeitraum an.The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. Die Standardeinstellung für den Zeitraum beträgt 30 Tage.The default for the time period is 30 days.

AnmeldeaktivitätSign-in activity

Wenn Sie möchten, können Sie den Fokus auf eine bestimmte Anwendung festlegen.If you want to, you can set the focus on a specific application.

ReportingReporting

Wenn Sie im Graph für die App-Nutzung auf einen Tag klicken, wird eine ausführliche Liste mit den Anmeldeaktivitäten angezeigt.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

Mit der Option Anmeldungen können Sie eine vollständige Übersicht über alle Anmeldeereignisse für Ihre Anwendungen anzeigen.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Office 365-AktivitätsprotokolleOffice 365 activity logs

Sie können Office 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen.You can view Office 365 activity logs from the Microsoft 365 admin center. Beachten Sie, dass Office 365- und Azure AD-Aktivitätsprotokolle eine beträchtliche Anzahl von Verzeichnisressourcen gemeinsam nutzen.Consider the point that, Office 365 activity and Azure AD activity logs share a significant number of the directory resources. Nur das Microsoft 365 Admin Center bietet eine vollständige Übersicht über die Office 365-Aktivitätsprotokolle.Only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Mithilfe der Office 365-Verwaltungs-APIs können Sie auch programmgesteuert auf die Office 365-Aktivitätsprotokolle zugreifen.You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

Nächste SchritteNext steps