Partilhar via


Entradas do AD FS no Microsoft Entra ID com Connect Health - visualização

As entradas do AD FS agora podem ser integradas ao relatório de entradas do Microsoft Entra usando o Connect Health. O relatório Relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entram na ID do Microsoft Entra e acessam recursos.

O agente Connect Health for AD FS correlaciona várias IDs de Evento do AD FS, dependendo da versão do servidor, para fornecer informações sobre a solicitação e detalhes de erro se a solicitação falhar. Essas informações são correlacionadas ao esquema de relatório de entrada do Microsoft Entra e exibidas na UX do relatório de entrada do Microsoft Entra. Juntamente com o relatório, um novo fluxo do Log Analytics está disponível com os dados do AD FS e um novo modelo de Pasta de Trabalho do Azure Monitor. O modelo pode ser usado e modificado para uma análise aprofundada de cenários como bloqueios de conta do AD FS, tentativas de senha incorreta e picos de tentativas de entrada inesperadas.

Pré-requisitos

  • Microsoft Entra Connect Health para AD FS instalado e atualizado para a versão mais recente (3.1.95.0 ou posterior).
  • Função Leitor de Relatórios para exibir as entradas do Microsoft Entra

Que dados são apresentados no relatório?

Os dados disponíveis espelham os mesmos dados disponíveis para entradas do Microsoft Entra. Cinco guias com informações estão disponíveis com base no tipo de entrada, Microsoft Entra ID ou AD FS. O Connect Health correlaciona eventos do AD FS, dependendo da versão do servidor, e os faz corresponder ao esquema do AD FS.

Entradas de utilizador

Cada guia na folha de entrada mostra os valores padrão abaixo:

  • Data de início de sessão
  • ID do Pedido
  • Nome de utilizador ou ID de utilizador
  • Estado do início de sessão
  • Endereço IP do dispositivo utilizado para o início de sessão
  • Identificador de início de sessão

Informações sobre o método de autenticação

Os seguintes valores podem ser exibidos na guia autenticação. O método de autenticação é obtido dos logs de auditoria do AD FS.

Método de autenticação Description
Formulários Autenticação de nome de utilizador/palavra-passe
Windows Autenticação integrada ao Windows
Certificado Autenticação com certificados SmartCard / VirtualSmart
WindowsHelloForBusiness Este campo é para autenticação com o Windows Hello for Business. (Autenticação do Microsoft Passport)
Dispositivo Exibido se a Autenticação de Dispositivo estiver selecionada como Autenticação "Principal" da intranet/extranet e a Autenticação de Dispositivo for executada. Não há autenticação de usuário separada nesse cenário.
Federados O AD FS não fez a autenticação, mas a enviou para um provedor de identidade de terceiros
SSO Se um token de logon único foi usado, esse campo fica visível. Se o SSO tiver um MFA, ele será exibido como Multifator
Multifatorial Se um token de logon único tiver uma MFA e que foi usado para autenticação, esse campo será exibido como Multifator
Autenticação multifator Microsoft Entra A autenticação multifator do Microsoft Entra é selecionada como o Provedor de Autenticação Adicional no AD FS e foi usada para autenticação
ADFSExternalAuthenticationProvider Este campo é se um provedor de autenticação de terceiros foi registrado e usado para autenticação

Detalhes adicionais do AD FS

Os seguintes detalhes estão disponíveis para entradas do AD FS:

  • Server Name (Nome do Servidor)
  • Cadeia IP
  • Protocolo

Habilitando o Log Analytics e o Azure Monitor

O Log Analytics pode ser habilitado para as entradas do AD FS e pode ser usado com qualquer outro componente integrado do Log Analytics, como o Sentinel.

Nota

As entradas do AD FS podem aumentar significativamente o custo do Log Analytics, dependendo da quantidade de entradas no AD FS na sua organização. Para ativar e desativar o Log Analytics, marque a caixa de seleção do fluxo.

Para habilitar o Log Analytics para o recurso, navegue até a folha do Log Analytics e selecione "ADFSSignIns" stream. Esta seleção permite que os inícios de sessão do AD FS fluam para o Log Analytics.

Para acessar o modelo atualizado da Pasta de Trabalho do Azure Monitor, navegue até "Modelos do Azure Monitor" e selecione a Pasta de Trabalho "login". Para obter mais informações sobre Pastas de Trabalho, visite Pastas de Trabalho do Azure Monitor.

Perguntas Mais Frequentes

Quais são os tipos de entradas que posso ver? O relatório de entrada oferece suporte a entradas por meio dos protocolos O-Auth, WS-Fed, SAML e WS-Trust.

Como são apresentados os diferentes tipos de início de sessão no relatório de início de sessão? Se uma entrada SSO contínua for executada, haverá uma linha para a entrada com uma ID de correlação. Se uma autenticação de fator único for executada, duas linhas serão preenchidas com a mesma ID de correlação, mas com dois métodos de autenticação diferentes (ou seja, Formulários, SSO). Nos casos de autenticação multifator, há três linhas com uma ID de correlação compartilhada e três Métodos de Autenticação correspondentes (ou seja, Formulários, autenticação multifator Microsoft Entra, Multifator). Neste exemplo em particular, o multifator, neste caso, mostra que o SSO tem uma AMF.

Quais são os erros que posso ver no relatório? Para obter uma lista completa dos erros relacionados ao AD FS que são preenchidos no relatório de entrada e nas descrições, visite Referência de código de erro da Ajuda do AD FS

Estou vendo "00000000-0000-0000-0000-0000000000000" na seção "Usuário" de um login. O que é que isso significa? Se o início de sessão falhar e a tentativa de UPN não corresponder a um UPN existente, os campos "Utilizador", "Nome de utilizador" e "ID de utilizador" são "00000000-0000-0000-0000-0000000000000" e o "Identificador de início de sessão" preenchido com o valor de tentativa introduzido pelo utilizador. Nesses casos, o usuário que está tentando entrar não existe.

Como posso correlacionar meus eventos locais ao relatório de entradas do Microsoft Entra? O agente Microsoft Entra Connect Health para AD FS correlaciona IDs de evento do AD FS dependentes da versão do servidor. Os eventos estão disponíveis no Log de Segurança dos servidores AD FS.

Por que motivo vejo NotSet ou NotApplicable no ID/Nome da Aplicação para alguns inícios de sessão do AD FS? O relatório de entrada do AD FS exibe IDs OAuth no campo ID do Aplicativo para entradas OAuth. Nos cenários de entrada WS-Fed, WS-Trust, a ID do aplicativo é NotSet ou NotApplicable e as IDs de Recursos e identificadores de Terceira Parte Confiável estão presentes no campo ID do Recurso.

Por que vejo os campos ID do recurso e Nome do recurso como "Não definido"? Os campos ResourceId/Name são "NotSet" em alguns casos de erro, como "Nome de usuário e senha incorretos" e em entradas com falha baseadas em WSTrust.

Existem mais problemas conhecidos com o relatório em pré-visualização? O relatório tem um problema conhecido em que o campo "Requisito de Autenticação" na guia "Informações Básicas" é preenchido como um valor de autenticação de fator único para entradas do AD FS, independentemente da entrada. Além disso, a guia Detalhes de autenticação exibe "Primário ou Secundário" no campo Requisito, com uma correção em andamento para diferenciar os tipos de autenticação Primária ou Secundária.