Anmeldeprotokolle in Azure Active Directory

  • Artikel
  • 7 Minuten Lesedauer

Als IT-Administrator müssen Sie wissen, wie Ihre IT-Umgebung funktioniert. Anhand der Informationen zur Integrität Ihres Systems können Sie bewerten, ob und wie Sie auf potenzielle Probleme reagieren müssen.

Um Sie bei diesem Ziel zu unterstützen, bietet Ihnen das Azure Active Directory-Portal Zugriff auf drei Aktivitätsprotokolle:

  • Anmeldungen : Informationen zu Anmeldungen und zur Verwendung Ihrer Ressourcen durch Ihre Benutzer.
  • Überwachung : Informationen zu Änderungen, die auf Ihren Mandanten angewendet wurden, z. B. Benutzer- und Gruppenverwaltung oder Updates, die auf die Ressourcen Ihres Mandanten angewendet wurden.
  • Bereitstellung – Aktivitäten durch den Bereitstellungsdienst, z. B. die Erstellung einer Gruppe in ServiceNow oder eines aus Workday importierten Benutzers.

In diesem Artikel erhalten Sie einen Überblick über den Bericht zu Anmeldeaktivitäten.

Was können Sie damit machen?

Im Anmeldeprotokoll finden Sie Antworten auf Fragen wie die folgenden:

  • Wie sieht das Anmeldemuster eines Benutzers aus?

  • Wie viele Benutzer haben sich im Laufe einer Woche angemeldet?

  • Wie lautet der Status dieser Anmeldungen?

Wer kann auf sie zugreifen?

Sie können jederzeit über diesen Link auf Ihren eigenen Anmeldeverlauf zugreifen: https://mysignins.microsoft.com

Um auf das Anmeldeprotokoll zugreifen zu können, müssen Sie Folgendes sein:

  • Ein globaler Administrator:

  • Ein Benutzer mit einer der folgenden Rollen:

    • Sicherheitsadministrator

    • Sicherheitsleseberechtigter

    • Globaler Leser

    • Berichtsleser

Welche Azure AD-Lizenz benötigen Sie?

Der Bericht mit den Anmeldeaktivitäten ist in allen Editionen von Azure AD verfügbar. Wenn Sie über eine Azure Active Directory P1- oder P2-Lizenz verfügen, können Sie auch über die Microsoft Graph-API auf den Bericht zur Anmeldeaktivität zugreifen.

Wo finden Sie die Protokolle im Azure-Portal?

Das Azure-Portal bietet Ihnen mehrere Optionen für den Zugriff auf das Protokoll. Im Azure Active Directory-Menü können Sie beispielsweise im Abschnitt Überwachung öffnen.

Open sign-in logs

Zudem können Sie über diesen Link direkt zu den Anmeldeprotokollen gelangen: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Was ist die Standansicht?

Ein Anmeldungsprotokoll enthält eine Standardlistenansicht mit folgenden Informationen:

  • Anmeldedatum
  • Zugehöriger Benutzer
  • Die Anwendung, bei der sich der Benutzer angemeldet hat
  • Anmeldestatus
  • Status der Risikoerkennung
  • Status der MFA-Anforderung (Multi-Factor Authentication)

Screenshot shows the Office 365 SharePoint Online Sign-ins.

Sie können die Listenansicht anpassen, indem Sie in der Symbolleiste auf Spalten klicken.

Screenshot shows the Columns option in the Sign-ins page.

Im Dialogfeld Spalten erhalten Sie Zugriff auf die auswählbaren Attribute. In einem Bericht zu Anmeldeaktivitäten dürfen keine Felder enthalten sein, die mehr als einen Wert für eine beliebige Anmeldeanforderung als Spalte aufweisen. Dies gilt beispielsweise für Authentifizierungsdetails, Daten zum bedingten Zugriff und den Netzwerkspeicherort.

Screenshot shows the Columns dialog box where you can select attributes.

Anmeldefehler

Wenn bei der Anmeldung ein Fehler aufgetreten ist, erhalten Sie weitere Informationen zur Ursache im Abschnitt Grundlegende Informationen des zugehörigen Protokollelements.

sign-in error code

Während das Protokollelement einen Fehlergrund bereitstellt, gibt es Fälle, in denen Sie möglicherweise weitere Informationen mit dem Tool für die Fehlersuche bei der Anmeldung erhalten. Wenn verfügbar, stellt dieses Tool beispielsweise Schritte zur Problembehebung bereit.

Error code lookup tool

Filtern von Anmeldeaktivitäten

Sie können die Daten in einem Protokoll filtern, um sie gemäß Ihren Anforderungen einzugrenzen:

Screenshot shows the Add filters option.

Anforderungs-ID- : ID der Anforderung, die Sie interessiert.

Benutzer: Name oder Benutzerprinzipalname des Benutzers, der Sie interessiert.

Anwendung: Name der Zielanwendung.

Status: der Anmeldestatus, der Sie interessiert:

  • Erfolg

  • Fehler

  • Unterbrochen

IP-Adresse: IP-Adresse des Geräts, mit dem die Verbindung mit Ihrem Mandanten hergestellt wird.

Standort: Standort, von dem aus die Verbindung eingeleitet wurde:

  • City

  • Bundesland/Kanton

  • Land/Region

Ressource: Name des Diensts, der für die Anmeldung verwendet wird.

Ressourcen-ID: ID des Diensts, der für die Anmeldung verwendet wird.

Client-App: Typ der Client-App, die zum Herstellen einer Verbindung mit Ihrem Mandanten verwendet wird:

Client app filter

Hinweis

Aufgrund von Datenschutzzusagen füllt Azure AD dieses Feld für den Basismandanten im Falle eines mandantenübergreifenden Szenarios nicht auf.

Name Moderne Authentifizierung BESCHREIBUNG
Authentifiziertes SMTP Wird von POP- und IMAP-Clients zum Senden von E-Mails verwendet.
AutoErmittlung Wird von Outlook- und EAS-Clients verwendet, um Postfächer in Exchange Online zu suchen und eine Verbindung damit herzustellen.
Exchange ActiveSync Dieser Filter zeigt alle Anmeldeversuche, bei denen das EAS-Protokoll versucht wurde.
Browser Blue checkmark. Zeigt alle Anmeldeversuche von Benutzern über Webbrowser
Exchange ActiveSync Zeigt alle Anmeldeversuche von Benutzern mit Client-Apps, die Exchange Active Sync zur Herstellung einer Verbindung mit Exchange Online verwenden
Exchange Online PowerShell Wird zum Herstellen einer Verbindung mit Exchange Online über Remote-PowerShell verwendet. Wenn Sie die Standardauthentifizierung für Exchange Online PowerShell blockieren, müssen Sie das Exchange Online PowerShell-Modul verwenden, um eine Verbindung herzustellen. Anweisungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung.
Exchange-Webdienste Eine Programmierschnittstelle, die von Outlook, Outlook für Mac und Drittanbieter-Apps verwendet wird.
IMAP4 Älterer E-Mail-Client, der IMAP zum Abrufen von E-Mails verwendet.
MAPI über HTTP Wird von Outlook 2010 und höher verwendet.
Mobile Apps und Desktop-Apps Blue checkmark. Zeigt alle Anmeldeversuche von Benutzern mithilfe von mobilen Anwendungen und Desktopclients.
Offlineadressbuch Eine Kopie der Adressenlistensammlungen, die von Outlook heruntergeladen und verwendet werden.
Outlook Anywhere (RPC über HTTP) Wird bis Outlook 2016 verwendet.
Outlook-Dienst Wird von der Mail- und Kalender-App für Windows 10 verwendet.
POP3 Älterer E-Mail-Client, der POP3 zum Abrufen von E-Mails verwendet.
Reporting Web Services Wird zum Abrufen von Berichtsdaten in Exchange Online verwendet.
Andere Clients Zeigt alle Anmeldeversuche von Benutzern, bei denen die Client-App nicht inbegriffen oder unbekannt ist.

Betriebssystem: das Betriebssystem, das auf dem Gerät ausgeführt wird, mit dem die Anmeldung bei Ihrem Mandanten erfolgt.

Gerätebrowser: Wenn die Verbindung in einem Browser eingeleitet wurde, können Sie in diesem Feld nach Browsername filtern.

Korrelations-ID: Korrelations-ID der Aktivität.

Bedingter Zugriff: Status der angewendeten Regeln für bedingten Zugriff

  • Nicht angewendet: Keine Richtlinie betraf den Benutzer und die Anwendung bei der Anmeldung.

  • Erfolg: Eine oder mehrere Richtlinien für bedingten Zugriff betrafen den Benutzer und die Anwendung (aber nicht notwendigerweise die anderen Bedingungen) bei der Anmeldung.

  • Fehler: Die Anmeldung hat zwar die Benutzer- und Anwendungsbedingung mindestens einer Richtlinie für bedingten Zugriff erfüllt, die Gewährungssteuerelemente wurden jedoch nicht erfüllt oder sind auf Blockieren des Zugriffs eingestellt.

Tastenkombinationen für Anmeldedaten

Azure AD und das Azure-Portal enthalten weitere Einstiegspunkte für Anmeldedaten:

  • Übersicht über Identitätssicherheit und Schutz
  • Benutzer
  • Gruppen
  • Unternehmensanwendungen

Benutzeranmeldedaten für Identitätssicherheit und Schutz

Mit dem Graphen für Benutzeranmeldungen auf der Übersichtsseite Identitätssicherheit und Schutz werden wöchentliche Aggregationen der Anmeldungen angezeigt. Die Standardeinstellung für den Zeitraum beträgt 30 Tage.

Screenshot shows a graph of Sign-ins over a month.

Wenn Sie im Diagramm der Anmeldungen auf einen Tag klicken, wird eine Übersicht über die Anmeldeaktivitäten für den entsprechenden Tag angezeigt.

Jede Zeile in der Liste mit den Anmeldeaktivitäten zeigt Folgendes:

  • Wer hat sich angemeldet?
  • Welche Anwendung war das Ziel der Anmeldung?
  • Welchen Status hat die Anmeldung?
  • Welchen MFA-Status hat die Anmeldung?

Durch Klicken auf ein Element können Sie ausführlichere Informationen zum entsprechenden Anmeldevorgang anzeigen:

  • Benutzer-ID
  • Benutzer
  • Username
  • Anwendungs-ID
  • Application
  • Client
  • Position
  • IP-Adresse
  • Date
  • MFA erforderlich
  • Anmeldestatus

Hinweis

IP-Adressen werden so ausgestellt, dass es keine definitive Verbindung zwischen einer IP-Adresse und dem physischen Standort des Computers mit dieser Adresse gibt. Das Zuordnen von IP-Adressen wird außerdem durch Faktoren wie Mobilfunkanbieter und VPNs verkompliziert, die IP-Adressen aus zentralen Pools zuweisen, die oft sehr weit von den Orten entfernt sind, an denen das Clientgerät tatsächlich verwendet wird. Derzeit ist das Konvertieren der IP-Adresse in einen physischen Speicherort eine optimale Lösung, die auf Ablaufverfolgungen, Registrierungsdaten, Reverse-Lookups und anderen Informationen basiert.

Wenn Sie auf der Seite Benutzer im Abschnitt Aktivität auf Anmeldevorgänge klicken, wird eine umfassenden Übersicht über alle Benutzeranmeldungen angezeigt.

Screenshot shows the Activity section where you can select Sign-ins.

Authentifizierungsdetails

Die Registerkarte Authentifizierungsdetails im Anmeldebericht enthält die folgenden Informationen für jeden Authentifizierungsversuch:

  • Eine Liste der angewendeten Authentifizierungsrichtlinien (z. B. bedingter Zugriff, MFA pro Benutzer, Sicherheitsstandards)
  • Eine Liste der angewendeten Richtlinien für die Sitzungslebensdauer (z. B. Anmeldehäufigkeit, MFA-Speicherung, konfigurierbare Tokengültigkeitsdauer)
  • Die Abfolge der für die Anmeldung verwendeten Authentifizierungsmethoden
  • Ob der Authentifizierungsversuch erfolgreich war oder nicht
  • Ausführliche Informationen zu den Gründen, aus denen der Authentifizierungsversuch erfolgreich war oder nicht

Mit diesen Informationen können Administratoren die Problembehandlung für jeden Schritt bei der Anmeldung eines Benutzers und Nachverfolgungen durchführen:

  • Umfang der durch mehrstufige Authentifizierung geschützten Anmeldungen
  • Grund für die Authentifizierungsaufforderung basierend auf den Richtlinien für die Sitzungslebensdauer
  • Nutzungs- und Erfolgsraten für jede Authentifizierungsmethode
  • Verwendung kennwortloser Authentifizierungsmethoden (z. B. kennwortlose Anmeldung per Telefon, FIDO2 und Windows Hello for Business)
  • Wie häufig Authentifizierungsanforderungen durch Tokenansprüche erfüllt werden (wobei Benutzer nicht interaktiv zur Eingabe eines Kennworts, eines SMS-OTP usw. aufgefordert werden)

Wählen Sie beim Anzeigen des Anmeldeberichts die Registerkarte Authentifizierungsdetails aus:

Screenshot of the Authentication Details tab

Hinweis

Der OATH-Überprüfungscode wird sowohl für OATH-Hardware- als auch für Softwaretoken (z. B. die Microsoft Authenticator-App) als Authentifizierungsmethode protokolliert.

Wichtig

Auf der Registerkarte Authentifizierungsdetails können zunächst unvollständige oder ungenaue Daten angezeigt werden, bis die Protokollinformationen vollständig aggregiert sind. Bekannte Beispiele sind:

  • Eine Erfüllt durch Anspruch im Token-Meldung wird fälschlicherweise angezeigt, wenn Anmeldeereignisse anfänglich protokolliert werden.
  • Die Zeile Primäre Authentifizierung wird anfänglich nicht protokolliert.

Nutzung von verwalteten Anwendungen

Mit einer anwendungsorientierten Ansicht Ihrer Anmeldedaten können Sie beispielsweise folgende Fragen beantworten:

  • Wer verwendet meine Anwendungen?
  • Welche drei Anwendungen sind in Ihrer Organisation am beliebtesten?
  • Wie arbeitet meine neueste Anwendung?

Der Einstiegspunkt für diese Daten sind die drei wichtigsten Anwendungen in Ihrer Organisation. Die Daten sind im Bericht über die letzten 30 Tage im Abschnitt Übersicht unter Unternehmensanwendungen enthalten.

Screenshot shows where you can select Overview.

Der Graph zur App-Nutzung gibt die wöchentlichen Aggregationen von Anmeldungen für Ihre beliebtesten drei Anwendungen in einem bestimmten Zeitraum an. Die Standardeinstellung für den Zeitraum beträgt 30 Tage.

Screenshot shows the App usage for a one month period.

Wenn Sie möchten, können Sie den Fokus auf eine bestimmte Anwendung festlegen.

Reporting

Wenn Sie im Graph für die App-Nutzung auf einen Tag klicken, wird eine ausführliche Liste mit den Anmeldeaktivitäten angezeigt.

Mit der Option Anmeldungen können Sie eine vollständige Übersicht über alle Anmeldeereignisse für Ihre Anwendungen anzeigen.

Microsoft 365-Aktivitätsprotokolle

Sie können Microsoft 365-Aktivitätsprotokolle im Microsoft 365 Admin Center anzeigen. Beachten Sie, dass Microsoft 365- und Azure AD-Aktivitätsprotokolle eine beträchtliche Anzahl von Verzeichnisressourcen gemeinsam nutzen. Nur das Microsoft 365 Admin Center bietet eine vollständige Übersicht über die Microsoft 365-Aktivitätsprotokolle.

Mithilfe der Office 365-Verwaltungs-APIs können Sie auch programmgesteuert auf die Microsoft 365-Aktivitätsprotokolle zugreifen.

Nächste Schritte