Entradas do AD FS no Microsoft Entra ID com o Connect Health – versão prévia
As entradas dos AD FS agora podem ser integradas ao relatório de entradas do Microsoft Entra usando o Connect Health. O relatório de Relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entraram no Microsoft Entra ID e acessaram recursos.
O agente do Connect Health para AD FS correlaciona várias IDs de Evento dos AD FS, dependendo da versão do servidor, para fornecer informações sobre a solicitação e os detalhes do erro se a solicitação falhar. Essas informações estão correlacionadas ao esquema de relatório de entradas do Microsoft Entra e exibidas no Relatório UX de Entradas do Microsoft Entra. Junto ao relatório, um novo fluxo de Log Analytics está disponível com os dados dos AD FS e um novo modelo de pasta de trabalho do Azure Monitor. O modelo pode ser usado e modificado para uma análise detalhada para cenários como bloqueios de conta dos AD FS, tentativas de senha inadequadas e picos de tentativas de entrada inesperadas.
Pré-requisitos
- Microsoft Entra Connect Health para AD FS instalado e atualizado para a versão mais recente (3.1.95.0 ou posterior).
- Função de Leitor de relatórios para exibir as entradas do Microsoft Entra
Quais dados são exibidos no relatório?
Os dados disponíveis espelham os mesmos dados disponíveis de entradas do Microsoft Entra. Cinco guias com informações estarão disponíveis com base no tipo de entrada, no Microsoft Entra ID ou no AD FS. O Connect Health correlaciona eventos dos AD FS, dependendo da versão do servidor e os corresponde ao esquema dos AD FS.
Entradas do usuário
Cada guia na folha de entradas mostra os valores padrão abaixo:
- Data de entrada
- ID da Solicitação
- Nome de usuário ou ID de usuário
- Status da entrada
- Endereço IP do dispositivo usado para a entrada
- Identificador de entrada
Informações sobre o método de autenticação
Os valores a seguir podem ser exibidos na guia Autenticação. O método de autenticação é obtido dos logs de auditoria AD FS.
Método de autenticação | Descrição |
---|---|
Formulários | Autenticação de nome de usuário e senha |
Windows | Autenticação Integrada do Windows |
Certificado | Autenticação com certificados de Cartão inteligente/VirtualSmart |
WindowsHelloForBusiness | Este campo é para autenticação com o Windows Hello para empresas. (Autenticação do Microsoft Passport) |
Dispositivo | Exibido se a Autenticação do Dispositivo estiver selecionada como Autenticação "Primária" da intranet/extranet e a Autenticação do Dispositivo for executada. Não há nenhuma autenticação de usuário separada nesse cenário. |
Federado | Os AD FS não fizeram a autenticação, mas a enviaram para um provedor de identidade de terceiros |
SSO | Se um token de logon único tiver sido usado, esse campo ficará visível.. Se o SSO tiver uma MFA, ele será mostrado como multifator |
Multifator | Se um token de logon único tiver uma MFA e ela tiver sido usada para autenticação, esse campo será exibido como Multifator |
Autenticação multifator do Microsoft Entra | A autenticação multifator do Microsoft Entra está selecionada como o Provedor de Autenticação Adicional no AD FS e foi usada para autenticação |
ADFSExternalAuthenticationProvider | Este campo é se um provedor de autenticação de terceiros foi registrado e usado para autenticação |
Detalhes adicionais sobre AD FS
Os detalhes a seguir estão disponíveis para entradas dos AD FS:
- Nome do Servidor
- Cadeia de IP
- Protocolo
Habilitando o Log Analytics e o Azure Monitor
O Log Analytics pode ser habilitado para as entradas dos AD FS e pode ser usado como todos os outros componentes integrados do Log Analytics, como o Azure Sentinel.
Observação
As entradas dos AD FS podem aumentar o custo do Log Analytics significativamente, dependendo da quantidade de entradas para o AD FS na sua organização. Para habilitar e desabilitar o Log Analytics, marque a caixa de seleção do fluxo.
Para habilitar o Log Analytics para o recurso, navegue até a folha do Log Analytics e selecione o fluxo "ADFSSignIns". Essa seleção permitirá que as entradas do AD FS fluam para o Log Analytics.
Para acessar o modelo de pasta de trabalho do Azure Monitor atualizado, navegue até "Modelos do Azure Monitor" e selecione a pasta de trabalho "entradas". Para saber mais sobre as pastas de trabalho, visite Pastas de Trabalho do Azure Monitor.
Perguntas frequentes
Quais são os tipos de entradas que eu poderia ver? O relatório de entrada oferece suporte a entradas por meio dos protocolos O-auth, WS-reported, SAML e WS-Trust.
Como os diferentes tipos de entradas são mostrados no relatório de entrada? Se uma entrada de SSO contínuo for executada, haverá uma linha para a entrada com uma ID de correlação. Se uma autenticação de fator único for executada, duas linhas serão preenchidas com a mesma ID de correlação, mas com dois métodos de autenticação diferentes (ou seja, Forms, SSO). Em casos de autenticação multifator, haverá três linhas com uma ID de correlação compartilhada e três métodos de autenticação correspondentes (ou seja, Forms, autenticação multifator do Microsoft Entra e Multifator). Neste exemplo específico, o multifator, nesse caso, mostra que o SSO tem uma MFA.
Quais são os erros que posso ver no relatório? Para obter uma lista completa de erros relacionados ao AD FS que são preenchidos no relatório e nas descrições de entrada, visite Ajuda do AD FS de Referência de Código de Erro
Estou vendo “00000000-0000-0000-0000-000000000000” na seção “Usuário” de uma entrada. O que isso significa?Se a conexão falhou e o UPN tentado não corresponder a um UPN existente, os campos "Usuário", "Nome de usuário" e "ID de usuário" serão "00000000-0000-0000-0000-000000000000" e o "identificador de entrada" será preenchido com o valor que o usuário inseriu na tentativa. Nesses casos, o usuário que está tentando entrar não existe.
Como correlacionar meus eventos locais com o relatório de entradas do Microsoft Entra? O agente de Microsoft Entra Connect Health para AD FS correlaciona IDs de eventos de AD FS dependentes da versão do servidor. Os eventos estarão disponíveis no Log de Segurança dos servidores do AD FS.
Por que vejo NotSet ou NotApplicable no nome/ID do aplicativo para algumas entradas do AD FS? O relatório de entradas do AD FS exibirá as IDs do OAuth no campo ID do aplicativo das entradas do OAuth. Nos cenários de entrada do WS-Fed, WS-Trust, a ID do aplicativo será “NotSet” ou “NotApplicable”, e as IDs de recurso e os identificadores da terceira parte confiável estarão presentes no campo ID do recurso.
Por que vejo os campos ID do recurso e Nome do recurso como "Não definidos"? Os campos ResourceId/Name são "NotSet" em alguns casos de erro, como em "Nome de usuário e senha incorretos" e em entradas com falha baseadas no WSTrust.
Existem mais problemas conhecidos com o relatório na versão prévia? O relatório tem um problema conhecido em que o campo "Requisito de autenticação" na guia "Informações básicas" será preenchido como um valor de autenticação de fator único para as entradas do AD FS, independentemente da entrada. Além disso, a guia Detalhes da autenticação exibirá "Primária ou Secundária" no campo Requisitos, com uma correção em andamento para diferenciar os tipos de autenticação Primária ou Secundária.