Monitoring & Berichte Monitoring & Reports

Anmeldeprotokolle, Überwachungsprotokolle, Diagnoseeinstellungen, Log Analytics, KQL-Abfragen und Entra-Empfehlungen im Überblick. Sign-in logs, audit logs, diagnostic settings, Log Analytics, KQL queries, and Entra recommendations at a glance.

ÜberblickOverview

Microsoft Entra ID stellt verschiedene Protokollquellen bereit, die sowohl für operative Zwecke (Anmeldefehler suchen, CA-Policies prüfen) als auch für Compliance-Anforderungen (Audit-Trails, SIEM-Integration) genutzt werden. Alle Logs sind über das Admin Center, die MS Graph API und Diagnosekonfigurationen abrufbar. Microsoft Entra ID provides several log sources used both for operational purposes (finding sign-in failures, checking CA policies) and compliance requirements (audit trails, SIEM integration). All logs are accessible via the admin center, the MS Graph API, and diagnostic configurations.

AnmeldeprotokolleSign-in logs

Die Anmeldeprotokolle erfassen alle Authentifizierungs- und Autorisierungsereignisse. Sie sind in vier Kategorien aufgeteilt, die unterschiedliche Arten von Principals und Anmeldeszenarien abdecken. The sign-in logs capture all authentication and authorization events. They are split into four categories covering different principal types and sign-in scenarios.

Wichtige Felder im AnmeldeprotokollKey fields in sign-in log

ÜberwachungsprotokolleAudit logs

Das Überwachungsprotokoll zeichnet alle Änderungen an Objekten im Entra-Tenant auf. Jeder Eintrag enthält Akteur, Ziel, geänderte Attribute und Zeitstempel. The audit log records all changes to objects in the Entra tenant. Each entry contains actor, target, changed attributes, and timestamp.

DiagnoseeinstellungenDiagnostic settings

Diagnoseeinstellungen steuern, welche Log-Kategorien wohin exportiert werden. Der Export erfolgt nahezu in Echtzeit (Latenz 5–15 Minuten) und ermöglicht längere Aufbewahrung sowie SIEM-Integration. Diagnostic settings control which log categories are exported where. The export happens near real-time (latency 5–15 minutes) and enables longer retention and SIEM integration.

Diagnoseeinstellung per PowerShell konfigurierenConfigure diagnostic setting via PowerShell

# Diagnoseeinstellung für Entra ID per Azure Monitor API konfigurieren
# Configure diagnostic setting for Entra ID via Azure Monitor API
$tenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$workspaceId = "/subscriptions/.../resourceGroups/.../providers/Microsoft.OperationalInsights/workspaces/myWorkspace"

$body = @{
    properties = @{
        workspaceId = $workspaceId
        logs = @(
            @{ category = "SignInLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
            @{ category = "AuditLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
            @{ category = "NonInteractiveUserSignInLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
            @{ category = "ServicePrincipalSignInLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
            @{ category = "ManagedIdentitySignInLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
            @{ category = "AADProvisioningLogs"; enabled = $true; retentionPolicy = @{ enabled = $false; days = 0 } }
        )
    }
} | ConvertTo-Json -Depth 10

$uri = "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings/EntraID-to-LA?api-version=2017-04-01-preview"
Invoke-RestMethod -Uri $uri -Method Put -Body $body -ContentType "application/json" -Headers @{ Authorization = "Bearer $accessToken" }

Azure Monitor IntegrationAzure Monitor integration

Nach dem Export nach Log Analytics stehen die Daten im Azure Monitor für KQL-Abfragen (Kusto Query Language) bereit. Die folgenden Abfragen decken typische operative und sicherheitsrelevante Szenarien ab. After export to Log Analytics the data is available in Azure Monitor for KQL (Kusto Query Language) queries. The following queries cover typical operational and security-relevant scenarios.

SignInLogs
| where TimeGenerated > ago(24h)
| where ResultType != "0"
| summarize Failures = count() by UserPrincipalName, ResultDescription, Location
| sort by Failures desc
| take 50

SignInLogs
| where TimeGenerated > ago(7d)
| where ClientAppUsed in ("Exchange ActiveSync", "IMAP", "POP", "SMTP", "Authenticated SMTP", "Other clients")
| summarize Count = count() by UserPrincipalName, ClientAppUsed, AppDisplayName
| sort by Count desc

SignInLogs
| where TimeGenerated > ago(24h)
| where ConditionalAccessStatus == "failure"
| mv-expand AppliedConditionalAccessPolicies
| extend PolicyName = tostring(AppliedConditionalAccessPolicies.displayName)
| extend PolicyResult = tostring(AppliedConditionalAccessPolicies.result)
| where PolicyResult == "failure"
| summarize Failures = count() by PolicyName, UserPrincipalName
| sort by Failures desc

AuditLogs
| where TimeGenerated > ago(7d)
| where OperationName in ("Add member to role", "Remove member from role", "Add eligible member to role")
| extend InitiatedBy = tostring(InitiatedBy.user.userPrincipalName)
| extend TargetUser = tostring(TargetResources[0].userPrincipalName)
| extend RoleName = tostring(TargetResources[1].displayName)
| project TimeGenerated, InitiatedBy, OperationName, TargetUser, RoleName
| sort by TimeGenerated desc

AADRiskyUsers
| where TimeGenerated > ago(24h)
| where RiskLevel in ("high", "medium")
| project TimeGenerated, UserPrincipalName, RiskLevel, RiskState, RiskLastUpdatedDateTime
| sort by RiskLastUpdatedDateTime desc

BereitstellungsprotokolleProvisioning logs

Bereitstellungsprotokolle zeichnen SCIM-Synchronisationen, HR-Provisioning (SuccessFactors, Workday) und App-Provisioning auf. Sie enthalten Quelldaten, Zieldaten und den Provisionierungsstatus für jeden Zyklus. Provisioning logs record SCIM synchronizations, HR provisioning (SuccessFactors, Workday), and app provisioning. They contain source data, target data, and provisioning status for each cycle.

Arbeitsmappen (Workbooks)Workbooks

Microsoft stellt im Entra-Admin-Center und in Azure Monitor fertige Arbeitsmappen bereit, die häufige Analysen ohne manuelle KQL-Schreibarbeit abdecken. Microsoft provides ready-made workbooks in the Entra admin center and in Azure Monitor that cover common analyses without manual KQL writing.

Nutzungsberichte & AuthentifizierungsanalysenUsage reports & authentication analytics

Die Nutzungsberichte in Entra ID bieten Einblicke in Anmeldungen, MFA-Nutzung, Self-Service-Passwortzurücksetzung und riskante Benutzer. Sie stehen im Entra Admin Center und über die Graph API zur Verfügung. Usage reports in Entra ID provide insights into sign-ins, MFA usage, self-service password reset, and risky users. They are available in the Entra Admin Center and via the Graph API.

Entra-EmpfehlungenEntra recommendations

Entra-Empfehlungen sind automatisierte, tenant-spezifische Sicherheits- und Betriebshinweise. Jede Empfehlung enthält einen Impact Score, eine Begründung und konkrete Aktionsvorschläge. Entra recommendations are automated, tenant-specific security and operational hints. Each recommendation includes an impact score, justification, and concrete action proposals.

Monitoring über die Graph APIMonitoring via Graph API

Connect-MgGraph -Scopes "AuditLog.Read.All","Directory.Read.All"

# Letzte 10 interaktive Anmeldungen eines Benutzers
Get-MgAuditLogSignIn -Filter "userPrincipalName eq 'user@contoso.com' and signInEventTypes/any(t:t eq 'interactiveUser')" -Top 10 |
    Select-Object CreatedDateTime, AppDisplayName, ConditionalAccessStatus, Status

# Fehlgeschlagene Anmeldungen (letzte Stunde)
$oneHourAgo = (Get-Date).AddHours(-1).ToString("o")
Get-MgAuditLogSignIn -Filter "status/errorCode ne 0 and createdDateTime ge $oneHourAgo" |
    Select-Object CreatedDateTime, UserPrincipalName, Status, Location

# Audit-Events für einen Benutzer
Get-MgAuditLogDirectoryAudit -Filter "targetResources/any(t:t/userPrincipalName eq 'user@contoso.com')" -Top 20

# Entra-Empfehlungen lesen
GET https://graph.microsoft.com/beta/directory/recommendations

Identity Secure ScoreIdentity Secure Score

Der Identity Secure Score ist ein prozentualer Wert, der die Sicherheitslage des Tenants im Vergleich zu Microsoft-Empfehlungen misst. Er berechnet sich aus einer Reihe von Verbesserungsmaßnahmen mit unterschiedlicher Gewichtung. The Identity Secure Score is a percentage value measuring the tenant's security posture against Microsoft's recommendations. It is calculated from a set of improvement actions with different weights.

Entra ID Health und Service-StatusEntra ID health and service status

Neben den operativen Logs bietet das Microsoft 365 Admin Center und die Azure Status Page Informationen über Dienstverfügbarkeit und Incidents. Für proaktives Monitoring können Service Health-Benachrichtigungen per E-Mail oder Webhook konfiguriert werden. Beyond operational logs, the Microsoft 365 Admin Center and Azure Status Page provide information about service availability and incidents. Service health notifications can be configured via email or webhook for proactive monitoring.

Authentifizierungsmethoden-MonitoringAuthentication methods monitoring

Der Bericht über Authentifizierungsmethoden-Aktivitäten zeigt, welche MFA-Methoden Ihre Benutzer registriert haben und tatsächlich verwenden. Dies ist essenziell für die Planung von MFA-Migrationen (z. B. von OATH TOTP zu Passkeys). The authentication methods activity report shows which MFA methods your users have registered and actually use. This is essential for planning MFA migrations (e.g. from OATH TOTP to passkeys).

Connect-MgGraph -Scopes "AuditLog.Read.All","Reports.Read.All"

# MFA-Registrierungsbericht abrufen
$report = Get-MgReportAuthenticationMethodUserRegistrationDetail -All
$report | Group-Object { $_.MethodsRegistered -join "," } |
    Select-Object Count, Name | Sort-Object Count -Descending

# Benutzer ohne MFA-Registrierung
$report | Where-Object { $_.IsMfaRegistered -eq $false } |
    Select-Object UserPrincipalName, IsSsprRegistered, MethodsRegistered

# Benutzer ohne phishing-resistente Methode
$phishingResistant = @("windowsHelloForBusiness","fido2","passKeyDeviceBound")
$report | Where-Object {
    -not ($_.MethodsRegistered | Where-Object { $_ -in $phishingResistant })
} | Select-Object UserPrincipalName, MethodsRegistered | Measure-Object | Select-Object Count

Troubleshooting-Workflow für AnmeldefehlerTroubleshooting workflow for sign-in errors

Anmeldefehler lassen sich mit einem strukturierten Vorgehen effizient diagnostizieren. Der Fehlercode aus dem Anmeldeprotokoll ist der wichtigste Einstiegspunkt. Sign-in errors can be efficiently diagnosed with a structured approach. The error code from the sign-in log is the most important entry point.

PowerShell & Graph API ReferenzPowerShell & Graph API reference

Microsoft Sentinel IntegrationMicrosoft Sentinel integration

Entra ID-Logs können über Event Hub in beliebige SIEM-Systeme integriert werden. Microsoft Sentinel bietet native Entra-ID-Connectors mit vordefinierten Analyseregeln für häufige Angriffsmuster. Entra ID logs can be integrated into any SIEM system via Event Hub. Microsoft Sentinel provides native Entra ID connectors with predefined analytics rules for common attack patterns.

Entra ID Service HealthEntra ID service health

Verwandte SeitenRelated pages

• Conditional AccessConditional Access
• Identity ProtectionIdentity Protection
• Governance & LifecycleGovernance & Lifecycle
• Anmeldefehler-TroubleshootingSign-in error troubleshooting
• Graph APIGraph API