Informazioni di accesso ad AD FS in Microsoft Entra ID con Connect Health - anteprima
Gli accessi ad AD FS possono ora essere integrati nel report degli accessi di Microsoft Entra tramite Connect Health. Il report Report sugli accessi di Microsoft Entra include informazioni su quando utenti, applicazioni e risorse gestite accedono a Microsoft Entra ID e alle risorse.
L'agente Connect Health per AD FS correla più ID eventi da AD FS, a seconda della versione del server, per fornire informazioni sulla richiesta e i dettagli dell'errore se la richiesta ha esito negativo. Queste informazioni sono correlate allo schema del report di accesso di Microsoft Entra e vengono visualizzate nell'esperienza utente del report di accesso di Microsoft Entra. Insieme al report, è disponibile un nuovo flusso di Log Analytics con i dati di AD FS e un nuovo modello di cartella di lavoro di Monitoraggio di Azure. Il modello può essere usato e modificato per un'analisi approfondita per scenari quali blocchi dell'account AD FS, tentativi con password non valida e picchi di tentativi di accesso imprevisti.
Prerequisiti
- Microsoft Entra Connect Health per AD FS installato e aggiornato alla versione più recente (3.1.95.0 o successiva).
- Ruolo Lettore report per visualizzare gli accessi a Microsoft Entra
Quali dati vengono visualizzati nel report?
I dati disponibili rispecchiano gli stessi dati disponibili per gli accessi a Microsoft Entra. Sono disponibili cinque schede con informazioni in base al tipo di accesso, ovvero Microsoft Entra ID o AD FS. Connect Health correla gli eventi da AD FS, a seconda della versione del server, e li associa allo schema AD FS.
Accessi utente
Ogni scheda nel pannello degli accessi mostra i valori predefiniti seguenti:
- Data di accesso
- ID richiesta
- Nome utente o ID utente
- Stato dell'accesso
- Indirizzo IP del dispositivo usato per l'accesso
- Identificatore di accesso
Informazioni sul metodo di autenticazione
Nella scheda di autenticazione possono essere visualizzati i valori seguenti. Il metodo di autenticazione viene ottenuto dai log di controllo di AD FS.
| Metodo di autenticazione | Descrizione |
|---|---|
| Form | Autenticazione con nome utente/password |
| Finestre | Autenticazione integrata di Windows |
| Certificate | Autenticazione con certificati smart card/VirtualSmart |
| WindowsHelloForBusiness | Questo campo si riferisce all'autenticazione con Windows Hello for Business. (Autenticazione Microsoft Passport) |
| Dispositivo | Viene visualizzato se l'opzione Autenticazione del dispositivo è impostata su “Autenticazione primaria” da Intranet/Extranet e viene eseguita l'autenticazione del dispositivo. In questo scenario non esiste alcuna autenticazione utente separata. |
| Federato | AD FS non ha fatto l'autenticazione ma l'ha inviata a un provider di identità di terze parti |
| SSO | Se è stato usato un token single sign-on, questo campo è visibile. Se l'accesso Single Sign-On ha un'autenticazione a più fattori, viene visualizzato come multifactoring |
| A più fattori | Se un token single sign-on ha un'autenticazione a più fattori e che è stata usata per l'autenticazione, questo campo viene visualizzato come multifactoring |
| Autenticazione a più fattori Microsoft Entra | L'autenticazione a più fattori Microsoft Entra è selezionata come provider di autenticazione aggiuntivo in AD FS ed è stata usata per l'autenticazione |
| ADFSExternalAuthenticationProvider | Questo campo si applica se un provider di autenticazione di terze parti è stato registrato e usato per l'autenticazione |
Dettagli aggiuntivi su AD FS
Per gli accessi ad AD FS sono disponibili i dettagli seguenti:
- Nome server
- Catena IP
- Protocollo
Abilitazione di Log Analytics e di Monitoraggio di Azure
Log Analytics può essere abilitato per gli accessi ad AD FS e può essere usato con qualsiasi altro componente integrato di Log Analytics, ad esempio Sentinel.
Nota
Gli accessi ad AD FS possono aumentare significativamente i costi di Log Analytics, a seconda della quantità di accessi ad AD FS nell'organizzazione. Per abilitare e disabilitare Log Analytics, selezionare la casella di controllo per il flusso.
Per abilitare Log Analytics per la funzionalità, passare al pannello Log Analytics e selezionare il flusso "ADFSSignIns". Questa selezione consente agli accessi ad AD FS di passare a Log Analytics.
Per accedere al modello aggiornato della cartella di lavoro di Monitoraggio di Azure, passare a "Modelli di Monitoraggio di Azure" e selezionare la cartella di lavoro "Accessi". Per altre informazioni sulle cartelle di lavoro, vedere Cartelle di lavoro di Monitoraggio di Azure.
Domande frequenti
Quali sono i tipi di accessi visualizzabili? Il report di accesso supporta gli accessi tramite protocolli O-Auth, WS-Fed, SAML e WS-Trust.
In che modo vengono visualizzati diversi tipi di accessi nel report di accesso? Se viene eseguito un accesso SSO facile, è presente una riga per l'accesso con un ID di correlazione. Se viene eseguita un'autenticazione a singolo fattore, due righe vengono popolate con lo stesso ID di correlazione, ma con due metodi di autenticazione diversi, ovvero Forms, SSO. Nei casi di autenticazione a più fattori, sono presenti tre righe con un ID di correlazione condiviso e tre metodi di autenticazione corrispondenti, ovvero Forms, autenticazione a più fattori Di Microsoft Entra. In questo esempio particolare, il multifactoring caso mostra che l'accesso Single Sign-On ha un'autenticazione a più fattori.
Quali sono gli errori visualizzabili nel report? Per un elenco completo degli errori correlati ad AD FS popolati nel report di accesso e nelle descrizioni, visitare Riferimento dei codici errore nella Guida di AD FS
Viene visualizzato "000000000-0000-0000-0000-000000000000" nella sezione "Utente" di un accesso. Cosa significa? Se l'accesso non è riuscito e l'UPN tentato non corrisponde a un UPN esistente, i campi "User", "Username" e "User ID" sono "00000000-0000-0000-0000-000000000000" e "Sign-in Identifier" popolato con il valore tentato immesso dall'utente. In questi casi, l'utente che tenta di accedere non esiste.
Come è possibile correlare gli eventi locali al report di accesso di Microsoft Entra? L'agente di Microsoft Entra Connect Health per AD FS correla gli ID evento di AD FS dipendenti dalla versione del server. Gli eventi sono disponibili nel log di sicurezza dei server AD FS.
Perché viene visualizzato NotSet o NotApplicable nell'ID applicazione/nome per alcuni accessi ad AD FS? Il report di accesso ad AD FS visualizza gli ID OAuth nel campo ID applicazione per gli accessi OAuth. Negli scenari di accesso WS-Fed WS-Trust, l'ID applicazione è NotSet o NotApplicable e gli ID risorsa e gli identificatori relying party sono presenti nel campo ID risorsa.
Perché i campi ID risorsa e Nome risorsa sono "Non impostati"? I campi ResourceId/Name sono "NotSet" in alcuni casi di errore, ad esempio "Nome utente e password non corretti" e in accessi non riusciti basati su WSTrust.
Sono presenti problemi più noti con il report in anteprima? Il report presenta un problema noto per cui il campo "Requisito di autenticazione" nella scheda "Informazioni di base" viene popolato come valore di autenticazione a singolo fattore per gli accessi ad AD FS indipendentemente dall'accesso. Inoltre, nella scheda Dettagli autenticazione viene visualizzato "Primario o Secondario" nel campo Requisito, con una correzione in corso per distinguere i tipi di autenticazione primario o secondario.