Delen via


AD FS-aanmeldingen in Microsoft Entra-id met Connect Health - preview

AD FS-aanmeldingen kunnen nu worden geïntegreerd in het Microsoft Entra-aanmeldingsrapport met behulp van Connect Health. Het rapport Microsoft Entra-aanmeldingen bevat informatie over wanneer gebruikers, toepassingen en beheerde resources zich aanmelden bij Microsoft Entra-id en toegang krijgen tot resources.

De Connect Health voor AD FS-agent correleert meerdere gebeurtenis-id's van AD FS, afhankelijk van de serverversie, om informatie over de aanvraag en foutdetails op te geven als de aanvraag mislukt. Deze informatie is gecorreleerd aan het microsoft Entra-aanmeldingsrapportschema en wordt weergegeven in het UX-aanmeldingsrapport van Microsoft Entra. Naast het rapport is er een nieuwe Log Analytics-stream beschikbaar met de AD FS-gegevens en een nieuwe Azure Monitor-werkmapsjabloon. De sjabloon kan worden gebruikt en gewijzigd voor een uitgebreide analyse voor scenario's zoals AD FS-accountvergrendelingen, ongeldige wachtwoordpogingen en pieken van onverwachte aanmeldingspogingen.

Vereisten

  • Microsoft Entra Connect Health voor AD FS geïnstalleerd en bijgewerkt naar de nieuwste versie (3.1.95.0 of hoger).
  • Rol Rapportlezer om de aanmeldingen van Microsoft Entra weer te geven

Welke gegevens worden weergegeven in het rapport?

De beschikbare gegevens spiegelen dezelfde gegevens die beschikbaar zijn voor Aanmeldingen van Microsoft Entra. Er zijn vijf tabbladen met informatie beschikbaar op basis van het type aanmelding, Microsoft Entra ID of AD FS. Connect Health correleert gebeurtenissen van AD FS, afhankelijk van de serverversie en komt overeen met het AD FS-schema.

Aanmeldingen van gebruikers

Op elk tabblad op de blade Aanmeldingen worden de standaardwaarden hieronder weergegeven:

  • Aanmeldingsdatum
  • Aanvraag-id
  • Gebruikersnaam of gebruikers-id
  • Status van de aanmelding
  • IP-adres van het apparaat dat wordt gebruikt voor de aanmelding
  • Aanmeldings-id

Informatie over verificatiemethode

De volgende waarden kunnen worden weergegeven op het tabblad Verificatie. De verificatiemethode wordt opgehaald uit de AD FS-auditlogboeken.

Authenticatiemethode Beschrijving
Formulieren Verificatie van gebruikersnaam/wachtwoord
Windows Geïntegreerde Windows-verificatie
Certificaat Verificatie met SmartCard/VirtualSmart-certificaten
WindowsHelloForBusiness Dit veld is bedoeld voor verificatie met Windows Hello voor Bedrijven. (Microsoft Passport-verificatie)
Apparaat Wordt weergegeven als Apparaatverificatie is geselecteerd als 'Primaire' verificatie vanuit intranet/extranet en apparaatverificatie wordt uitgevoerd. In dit scenario is er geen afzonderlijke gebruikersverificatie.
Federatief AD FS heeft de verificatie niet uitgevoerd, maar verzonden naar een externe id-provider
SSO Als er een token voor eenmalige aanmelding is gebruikt, is dit veld zichtbaar. Als eenmalige aanmelding een MFA heeft, wordt deze weergegeven als Multifactor
Multifactor Als een token voor eenmalige aanmelding een MFA heeft en dat is gebruikt voor verificatie, wordt dit veld weergegeven als Multifactor
Meervoudige verificatie van Microsoft Entra Microsoft Entra meervoudige verificatie is geselecteerd als de aanvullende verificatieprovider in AD FS en is gebruikt voor verificatie
ADFSExternalAuthenticationProvider Dit veld is als een externe verificatieprovider is geregistreerd en wordt gebruikt voor verificatie

Ad FS aanvullende details

De volgende details zijn beschikbaar voor AD FS-aanmeldingen:

  • Servernaam
  • IP-keten
  • Protocol

Log Analytics en Azure Monitor inschakelen

Log Analytics kan worden ingeschakeld voor de AD FS-aanmeldingen en kan worden gebruikt met andere geïntegreerde Log Analytics-onderdelen, zoals Sentinel.

Notitie

AD FS-aanmeldingen kunnen de log analytics-kosten aanzienlijk verhogen, afhankelijk van de hoeveelheid aanmeldingen voor AD FS in uw organisatie. Als u Log Analytics wilt in- en uitschakelen, schakelt u het selectievakje voor de stream in.

Als u Log Analytics voor de functie wilt inschakelen, gaat u naar de blade Log Analytics en selecteert u de stream ADFSSignIns. Met deze selectie kunnen AD FS-aanmeldingen naar Log Analytics stromen.

Als u toegang wilt krijgen tot de bijgewerkte Azure Monitor-werkmapsjabloon, gaat u naar Azure Monitor-sjablonen en selecteert u de werkmap 'aanmeldingen'. Ga naar Azure Monitor Workbooks voor meer informatie over Workbooks.

Veelgestelde vragen

Wat zijn de typen aanmeldingen die ik kan zien? Het aanmeldingsrapport ondersteunt aanmeldingen via O-Auth-, WS-Fed-, SAML- en WS-Trust-protocollen.

Hoe worden verschillende typen aanmeldingen weergegeven in het aanmeldingsrapport? Als een naadloze eenmalige aanmelding wordt uitgevoerd, is er één rij voor de aanmelding met één correlatie-id. Als er één factorverificatie wordt uitgevoerd, worden twee rijen gevuld met dezelfde correlatie-id, maar met twee verschillende verificatiemethoden (dat wil wel Forms, SSO). In het geval van meervoudige verificatie zijn er drie rijen met een gedeelde correlatie-id en drie bijbehorende verificatiemethoden (dat wil gezegd: Forms, Microsoft Entra multifactor authentication, Multifactor). In dit specifieke voorbeeld toont de multifactor in dit geval aan dat de eenmalige aanmelding een MFA heeft.

Wat zijn de fouten die ik in het rapport kan zien? Voor een volledige lijst met AD FS-gerelateerde fouten die zijn ingevuld in het aanmeldingsrapport en beschrijvingen, gaat u naar AD FS Help-foutcodeverwijzing

Ik zie '00000000-0000-0000-0000-00000000000000' in de sectie Gebruiker van een aanmelding. Wat moet dat betekenen? Als de aanmelding is mislukt en de geprobeerde UPN niet overeenkomt met een bestaande UPN, zijn de velden 'Gebruiker', 'Gebruikersnaam' en 'Gebruikers-id' '00000000-0000-0000-0000-000000000000000' en de aanmeldings-id ingevuld met de geprobeerde waarde die de gebruiker heeft ingevoerd. In dergelijke gevallen bestaat de gebruiker die zich probeert aan te melden niet.

Hoe kan ik mijn on-premises gebeurtenissen correleren met het microsoft Entra-aanmeldingsrapport? De Microsoft Entra Connect Health-agent voor AD FS correleert gebeurtenis-id's van AD FS afhankelijk van serverversie. De gebeurtenissen zijn beschikbaar in het beveiligingslogboek van de AD FS-servers.

Waarom zie ik NotSet of NotApplicable in de toepassings-id/naam voor sommige AD FS-aanmeldingen? In het ad FS-aanmeldingsrapport worden OAuth-id's weergegeven in het veld Toepassings-id voor OAuth-aanmeldingen. In de WS-Fed,WS-Trust-aanmeldingsscenario's is de toepassings-id NotSet of NotApplicable en zijn de resource-id's en relying party-id's aanwezig in het veld Resource-id.

Waarom zie ik de velden Resource-id en Resourcenaam als 'Niet ingesteld'? De velden ResourceId/Name zijn 'NotSet' in sommige foutgevallen, zoals 'Gebruikersnaam en wachtwoord onjuist' en in mislukte aanmeldingen op basis van WSTrust.

Zijn er meer bekende problemen met het rapport in preview? Het rapport heeft een bekend probleem waarbij het veld Verificatievereiste op het tabblad Basisgegevens wordt ingevuld als één factor-verificatiewaarde voor AD FS-aanmeldingen, ongeacht de aanmelding. Daarnaast wordt op het tabblad Verificatiedetails 'Primair of secundair' weergegeven onder het veld Vereiste, met een oplossing die wordt uitgevoerd om onderscheid te maken tussen primaire of secundaire verificatietypen.