Logowania AD FS w usłudze Microsoft Entra ID z Connect Health - wersja zapoznawcza
Logowania usług AD FS można teraz zintegrować z raportem logowania firmy Microsoft Entra przy użyciu programu Connect Health. Raport logowań Microsoft Entra zawiera informacje o tym, kiedy użytkownicy, aplikacje i zarządzane zasoby logują się do Microsoft Entra ID i uzyskują dostęp do zasobów.
Program Connect Health dla agenta usług AD FS koreluje wiele identyfikatorów zdarzeń z usług AD FS, zależnych od wersji serwera, aby podać informacje o żądaniu i szczegóły błędu, jeśli żądanie zakończy się niepowodzeniem. Te informacje są skorelowane ze schematem raportu logowania Microsoft Entra i wyświetlane w interfejsie użytkownika raportu logowania Microsoft Entra. Oprócz raportu nowy strumień Log Analytics jest dostępny z danymi AD FS i nowym szablonem skoroszytu Azure Monitor. Szablon można używać i modyfikować do szczegółowej analizy scenariuszy, takich jak blokady kont usług AD FS, nieprawidłowe próby hasła i skoki nieoczekiwanych prób logowania.
Wymagania wstępne
- Program Microsoft Entra Connect Health dla usług AD FS został zainstalowany i uaktualniony do najnowszej wersji (3.1.95.0 lub nowszej).
- Rola Czytelnika raportów do przeglądania logowań w Microsoft Entra
Jakie dane są wyświetlane w raporcie?
Dostępne dane odwzorowują te same dane dostępne dla logowań Microsoft Entra. Pięć kart z informacjami jest dostępnych w oparciu o typ logowania, czy to Microsoft Entra ID, czy AD FS. Program Connect Health koreluje zdarzenia z usług AD FS, zależne od wersji serwera i dopasuje je do schematu usług AD FS.
Logowania użytkowników
Każda karta w bloku logowania zawiera wartości domyślne poniżej:
- Data logowania
- Identyfikator żądania
- Nazwa użytkownika lub identyfikator użytkownika
- Stan logowania
- Adres IP urządzenia używanego do logowania
- Identyfikator logowania
Informacje o metodzie uwierzytelniania
Na karcie uwierzytelniania mogą być wyświetlane następujące wartości. Metoda uwierzytelniania jest pobierana z dzienników inspekcji usług AD FS.
| Metoda uwierzytelniania | opis |
|---|---|
| Formularze | Uwierzytelnianie nazwy użytkownika/hasła |
| Windows | Uwierzytelnianie zintegrowane z systemem Windows |
| Certyfikat | Uwierzytelnianie za pomocą certyfikatów SmartCard/VirtualSmart |
| WindowsHelloForBusiness | To pole służy do uwierzytelniania za pomocą Windows Hello dla firm. (Uwierzytelnianie za pomocą usługi Microsoft Passport) |
| Urządzenie | Wyświetlane, jeśli uwierzytelnianie urządzenia jest zaznaczone jako "Podstawowe" Uwierzytelnianie z intranetu/ekstranetu i Uwierzytelnianie urządzenia jest wykonywane. W tym scenariuszu nie ma oddzielnego uwierzytelniania użytkownika. |
| Federacyjni | Usługi AD FS nie przeprowadziły uwierzytelniania, ale przekazały je zewnętrznemu dostawcy tożsamości. |
| SSO (Logowanie jednokrotne) | Jeśli użyto tokenu logowania jednokrotnego, to pole jest widoczne. Jeśli logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe, jest ono wyświetlane jako Wieloskładnikowe |
| Wieloczynnikowy | Jeśli token logowania jednokrotnego ma uwierzytelnianie wieloskładnikowe i został on użyty do uwierzytelniania, to pole jest wyświetlane jako Multifactor |
| Uwierzytelnianie wieloskładnikowe Microsoft Entra | Uwierzytelnianie wieloskładnikowe Microsoft Entra zostało wybrane jako dodatkowy dostawca uwierzytelniania w usłudze AD FS i zostało użyte do uwierzytelniania. |
| ADFSExternalAuthenticationProvider | To pole dotyczy sytuacji, w której dostawca zewnętrzny został zarejestrowany i używany do uwierzytelniania. |
Dodatkowe szczegóły usług AD FS
Następujące szczegóły są dostępne dla logowań AD FS:
- Nazwa serwera
- Łańcuch adresów IP
- Protokół
Włączanie usługi Log Analytics i usługi Azure Monitor
Usługę Log Analytics można włączyć dla logowań do usług AD FS i można jej używać z innymi zintegrowanymi składnikami usługi Log Analytics, takimi jak Sentinel.
Uwaga
Logowania do usług AD FS mogą znacznie zwiększyć koszt usługi Log Analytics, w zależności od ilości logów do usług AD FS w organizacji. Aby włączyć i wyłączyć usługę Log Analytics, zaznacz pole wyboru strumienia.
Aby włączyć Log Analytics dla tej funkcji, przejdź do panelu Log Analytics i wybierz strumień "ADFSSignIns". Ten wybór umożliwia logowaniem usług AD FS do przepływu do usługi Log Analytics.
Aby uzyskać dostęp do zaktualizowanego szablonu skoroszytu usługi Azure Monitor, przejdź do pozycji "Szablony usługi Azure Monitor" i wybierz skoroszyt "logowania". Aby uzyskać więcej informacji na temat skoroszytów, odwiedź stronę Skoroszyty usługi Azure Monitor.
Często zadawane pytania
Jakie są typy logów, które mogą być widoczne? Raport logowania obsługuje logowania za pośrednictwem protokołów O-Auth, WS-Fed, SAML i WS-Trust.
W jaki sposób różne typy logowań są wyświetlane w raporcie logowania? Jeśli jest wykonywane bezproblemowe jednokrotne logowanie, jest jeden wiersz logowania z jednym identyfikatorem korelacji. Jeśli jest wykonywane uwierzytelnianie jednoskładnikowe, dwa wiersze są wypełniane tym samym identyfikatorem korelacji, ale przy użyciu dwóch różnych metod uwierzytelniania (czyli formularzy, logowania jednokrotnego). W przypadku uwierzytelniania wieloskładnikowego istnieją trzy wiersze z udostępnionym identyfikatorem korelacji i trzema odpowiednimi metodami uwierzytelniania (czyli formularzami, uwierzytelnianiem wieloskładnikowym firmy Microsoft, multifactor). W tym przykładzie wieloskładnikowy w tym przypadku pokazuje, że logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe.
Jakie są błędy, które widzę w raporcie?
Widzę "00000000-0000-0000-0000-000000000000" w sekcji "Użytkownik" podczas logowania. Co to oznacza? Jeśli logowanie nie powiodło się, a podjęta próba UPN nie jest zgodna z istniejącą nazwą UPN, pola "User", "Username" i "User ID" zostaną wypełnione "00000000-0000-0000-0000-000000000000", a "Identyfikator logowania" będzie zawierał wartość, którą użytkownik wprowadził. W takich przypadkach użytkownik próbujący się zalogować nie istnieje.
Jak skorelować zdarzenia lokalne z raportem logowania w Microsoft Entra? Agent Microsoft Entra Connect Health dla usług AD FS koreluje identyfikatory zdarzeń z AD FS w zależności od wersji serwera. Zdarzenia są dostępne w dzienniku zabezpieczeń serwerów usług AD FS.
Dlaczego w Identyfikatorze/Nazwie aplikacji dla niektórych logowań AD FS pojawia się NotSet lub NotApplicable? Raport logowania usług AD FS wyświetla identyfikatory OAuth w polu Identyfikator aplikacji dla logowań OAuth. W scenariuszach logowania WS-Fed, WS-Trust identyfikator aplikacji to NotSet lub NotApplicable, a identyfikatory zasobów i identyfikatory stron polegających są obecne w polu Identyfikator zasobu.
Dlaczego widzę pola IdentyfikatorZasobu i NazwaZasobu jako "Nie ustawiono"? Pola IdentyfikatorZasobu/NazwaZasobu są "Nie ustawiono" w niektórych przypadkach błędów, takie jak "Nazwa użytkownika i hasło niepoprawne", oraz w logowaniach opartych na protokole WSTrust, które się nie powiodły.
Czy istnieją więcej znanych problemów z raportem w wersji zapoznawczej? Raport ma znany problem polegający na tym, że pole "Wymaganie uwierzytelniania" na karcie "Informacje podstawowe" jest wypełniane jako wartość uwierzytelniania jednoskładnikowego dla logowań usług AD FS niezależnie od logowania. Ponadto na karcie Szczegóły uwierzytelniania jest wyświetlana wartość "Podstawowa lub Pomocnicza" w polu Wymaganie z poprawką w toku w celu odróżnienia typów uwierzytelniania podstawowego lub pomocniczego.