Logowania usług AD FS w usłudze Microsoft Entra ID z programem Connect Health — wersja zapoznawcza
Logowania usług AD FS można teraz zintegrować z raportem logowania firmy Microsoft Entra przy użyciu programu Connect Health. Raport dotyczący logowań firmy Microsoft zawiera informacje o tym, kiedy użytkownicy, aplikacje i zasoby zarządzane logować się do identyfikatora Entra firmy Microsoft i uzyskiwać dostęp do zasobów.
Program Connect Health dla agenta usług AD FS koreluje wiele identyfikatorów zdarzeń z usług AD FS, zależnych od wersji serwera, aby podać informacje o żądaniu i szczegóły błędu, jeśli żądanie zakończy się niepowodzeniem. Te informacje są skorelowane ze schematem raportu logowania firmy Microsoft i wyświetlane w środowisku użytkownika raportu logowania firmy Microsoft Entra. Oprócz raportu nowy strumień usługi Log Analytics jest dostępny z danymi usług AD FS i nowym szablonem skoroszytu usługi Azure Monitor. Szablon można używać i modyfikować do szczegółowej analizy scenariuszy, takich jak blokady kont usług AD FS, nieprawidłowe próby hasła i skoki nieoczekiwanych prób logowania.
Wymagania wstępne
- Program Microsoft Entra Connect Health dla usług AD FS został zainstalowany i uaktualniony do najnowszej wersji (3.1.95.0 lub nowszej).
- Rola Czytelnik raportów w celu wyświetlenia logowań firmy Microsoft
Jakie dane są wyświetlane w raporcie?
Dostępne dane dubluje te same dane dostępne dla logów firmy Microsoft Entra. Pięć kart z informacjami są dostępne w oparciu o typ logowania— Identyfikator firmy Microsoft lub usługi AD FS. Program Connect Health koreluje zdarzenia z usług AD FS, zależne od wersji serwera i dopasuje je do schematu usług AD FS.
Logowania użytkowników
Każda karta w bloku logowania zawiera wartości domyślne poniżej:
- Data logowania
- Identyfikator żądania
- Nazwa użytkownika lub identyfikator użytkownika
- Stan logowania
- Adres IP urządzenia używanego do logowania
- Identyfikator logowania
Informacje o metodzie uwierzytelniania
Na karcie uwierzytelniania mogą być wyświetlane następujące wartości. Metoda uwierzytelniania jest pobierana z dzienników inspekcji usług AD FS.
| Metoda uwierzytelniania | opis |
|---|---|
| Formularze | Uwierzytelnianie nazwy użytkownika/hasła |
| Windows | Uwierzytelnianie zintegrowane z systemem Windows |
| Certyfikat | Uwierzytelnianie za pomocą certyfikatów SmartCard/VirtualSmart |
| WindowsHelloForBusiness | To pole służy do uwierzytelniania za pomocą Windows Hello dla firm. (Uwierzytelnianie za pomocą usługi Microsoft Passport) |
| Urządzenie | Wyświetlane, jeśli uwierzytelnianie urządzenia jest zaznaczone jako "Podstawowe" Uwierzytelnianie z intranetu/ekstranetu i Uwierzytelnianie urządzenia jest wykonywane. W tym scenariuszu nie ma oddzielnego uwierzytelniania użytkownika. |
| Federacyjni | Usługi AD FS nie zrobiły uwierzytelniania, ale wysłały je do dostawcy tożsamości innej firmy |
| Logowanie jednokrotne | Jeśli użyto tokenu logowania jednokrotnego, to pole jest widoczne. Jeśli logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe, jest ono wyświetlane jako Wieloskładnikowe |
| Wielopoziomowego | Jeśli token logowania jednokrotnego ma uwierzytelnianie wieloskładnikowe i został on użyty do uwierzytelniania, to pole jest wyświetlane jako Multifactor |
| Uwierzytelnianie wieloskładnikowe firmy Microsoft | Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wybrane jako dodatkowy dostawca uwierzytelniania w usługach AD FS i został użyty do uwierzytelniania |
| ADFSExternalAuthenticationProvider | To pole jest, jeśli dostawca uwierzytelniania innej firmy został zarejestrowany i używany do uwierzytelniania |
Dodatkowe szczegóły usług AD FS
Następujące szczegóły są dostępne dla logowania usług AD FS:
- Nazwa serwera
- Łańcuch adresów IP
- Protokół
Włączanie usługi Log Analytics i usługi Azure Monitor
Usługę Log Analytics można włączyć dla logów usług AD FS i można ich używać z innymi zintegrowanymi składnikami usługi Log Analytics, takimi jak Sentinel.
Uwaga
Logowania do usług AD FS mogą znacznie zwiększyć koszt usługi Log Analytics, w zależności od ilości logów do usług AD FS w organizacji. Aby włączyć i wyłączyć usługę Log Analytics, zaznacz pole wyboru strumienia.
Aby włączyć usługę Log Analytics dla tej funkcji, przejdź do bloku Log Analytics i wybierz strumień "ADFSSignIns". Ten wybór umożliwia logowaniem usług AD FS do przepływu do usługi Log Analytics.
Aby uzyskać dostęp do zaktualizowanego szablonu skoroszytu usługi Azure Monitor, przejdź do pozycji "Szablony usługi Azure Monitor" i wybierz skoroszyt "logowania". Aby uzyskać więcej informacji na temat skoroszytów, odwiedź stronę Skoroszyty usługi Azure Monitor.
Często zadawane pytania
Jakie są typy logów, które mogą być widoczne? Raport logowania obsługuje logowania za pośrednictwem protokołów O-Auth, WS-Fed, SAML i WS-Trust.
W jaki sposób różne typy logowań są wyświetlane w raporcie logowania? Jeśli jest wykonywane bezproblemowe logowanie jednokrotne, istnieje jeden wiersz logowania z jednym identyfikatorem korelacji. Jeśli jest wykonywane uwierzytelnianie jednoskładnikowe, dwa wiersze są wypełniane tym samym identyfikatorem korelacji, ale przy użyciu dwóch różnych metod uwierzytelniania (czyli formularzy, logowania jednokrotnego). W przypadku uwierzytelniania wieloskładnikowego istnieją trzy wiersze z udostępnionym identyfikatorem korelacji i trzema odpowiednimi metodami uwierzytelniania (czyli formularzami, uwierzytelnianiem wieloskładnikowym firmy Microsoft, multifactor). W tym przykładzie wieloskładnikowy w tym przypadku pokazuje, że logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe.
Jakie są błędy, które widzę w raporcie?
Widzę komunikat "000000000-0000-0000-0000-0000000000000" w sekcji "Użytkownik" logowania. Co to oznacza? Jeśli logowanie nie powiodło się, a podjęta próba nazwy UPN nie jest zgodna z istniejącą nazwą UPN, polami "User", "Username" i "User ID" są pola "00000000-0000-0000-00000000000000" i "Identyfikator logowania" wypełnione wartością, która została wprowadzona przez użytkownika. W takich przypadkach użytkownik próbujący się zalogować nie istnieje.
Jak skorelować zdarzenia lokalne z raportem logowania firmy Microsoft Entra? Agent programu Microsoft Entra Connect Health dla usług AD FS koreluje identyfikatory zdarzeń z usług AD FS zależnych od wersji serwera. Zdarzenia są dostępne w dzienniku zabezpieczeń serwerów usług AD FS.
Dlaczego w identyfikatorze aplikacji/nazwie niektórych logów usług AD FS jest wyświetlany komunikat NotSet or NotApplicable? Raport logowania usług AD FS wyświetla identyfikatory OAuth w polu Identyfikator aplikacji dla logowań OAuth. W scenariuszach logowania WS-Fed, WS-Trust identyfikator aplikacji to NotSet lub NotApplicable, a identyfikatory zasobów i jednostki uzależnionej są obecne w polu Identyfikator zasobu.
Dlaczego widzę pola Identyfikator zasobu i Nazwa zasobu jako "Nie ustawiono"? Pola ResourceId/Name są "NotSet" w niektórych przypadkach błędów, takie jak "Nazwa użytkownika i hasło niepoprawne" i w logowaniach opartych na protokole WSTrust nie powiodło się.
Czy istnieją więcej znanych problemów z raportem w wersji zapoznawczej? Raport ma znany problem polegający na tym, że pole "Wymaganie uwierzytelniania" na karcie "Informacje podstawowe" jest wypełniane jako wartość uwierzytelniania jednoskładnikowego dla logowań usług AD FS niezależnie od logowania. Ponadto na karcie Szczegóły uwierzytelniania jest wyświetlana wartość "Podstawowa lub Pomocnicza" w polu Wymaganie z poprawką w toku w celu odróżnienia typów uwierzytelniania podstawowego lub pomocniczego.