適用於 AD FS 的 Microsoft Entra Connect Health 代理程式
在本文中,您會了解如何安裝及設定 Microsoft Entra Connect Health 代理程式。 下列文件旨在說明如何安裝及使用 Microsoft Entra Connect Health 來監視 AD FS 基礎結構。 如需使用 Microsoft Entra Connect Health 來監視 Microsoft Entra Connect (同步) 的詳細資訊,請參閱使用適用於同步的 Microsoft Entra Connect Health。此外,如需使用 Microsoft Entra Connect Health 來監視 Active Directory Domain Services 的詳細資訊,請參閱搭配 AD DS 使用 Microsoft Entra Connect Health。
了解如何下載代理程式。
注意
中國主權雲端不提供 Microsoft Entra Connect Health。
需求
下表列出使用 Microsoft Entra Connect Health 的需求:
需求 | 描述 |
---|---|
您具有 Microsoft Entra ID P1 或 P2 訂用帳戶。 | Microsoft Entra Connect Health 是 Microsoft Entra ID P1 或 P2 的功能。 如需詳細資訊,請參閱註冊 Microsoft Entra ID P1 或 P2 (部分機器翻譯)。 若要開始使用 30 天免費試用版,請參閱開始使用試用版。 |
您是 Microsoft Entra ID 中的全域管理員。 | 目前,只有全域管理員帳戶可以安裝及設定健康情況代理程式。 如需詳細資訊,請參閱管理您的 Microsoft Entra 目錄 (部分機器翻譯)。 藉由使用 Azure 角色型存取控制 (Azure RBAC),您可以讓組織中的其他使用者存取 Microsoft Entra Connect Health。 如需詳細資訊,請參閱適用於 Microsoft Entra Connect Health 的 Azure RBAC。 重要:使用公司或學校帳戶來安裝代理程式。 您無法使用 Microsoft 帳戶來安裝代理程式。 如需詳細資訊,請參閱以組織身分註冊 Azure。 |
Microsoft Entra Connect Health 代理程式已安裝在每個目標伺服器上。 | 您必須在目標伺服器上安裝和設定 Health 代理程式,才能接收資料及提供監視和分析功能。 例如,若要從 Active Directory 同盟服務 (AD FS) 基礎結構取得資料,您必須在 AD FS 伺服器和 Web 應用程式 Proxy 伺服器上安裝代理程式。 同樣地,若要從內部部署 AD Domain Services 基礎結構取得資料,則必須在網域控制站上安裝代理程式。 |
Azure 服務端點有輸出連線。 | 在安裝期間和執行階段,代理程式需要連線至 Microsoft Entra Connect Health service 服務端點。 如果防火牆封鎖輸出連線能力,請將輸出連線端點新增至允許清單。 |
輸出連線是以 IP 位址為基礎。 | 如需以 IP 位址為基礎的防火牆篩選詳細資訊,請參閱 Azure IP 範圍。 |
傳出流量的 TLS 檢查已經過篩選或已停用。 | 如果網路層的輸出流量有 TLS 檢查或終止,代理程式註冊步驟或資料上傳作業可能會失敗。 如需詳細資訊,請參閱設定 TLS 檢查。 |
伺服器上的防火牆連接埠正執行代理程式。 | 代理程式要求開啟下列防火牆連接埠,以便與 Microsoft Entra Connect Health 服務端點進行通訊: - TCP 通訊埠 443 - TCP 通訊埠 5671 最新版本的代理程式不需要連接埠 5671。 請升級至最新版本,如此一來便僅需要連接埠 443。 如需詳細資訊,請參閱混合式身分識別所需的連接埠和通訊協定。 |
如果已啟用 Internet Explorer 增強式安全性,則允許指定的網站。 | 如果已啟用 Internet Explorer 增強式安全性,請在您安裝代理程式的伺服器上允許下列網站: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - Microsoft Entra ID 信任的組織同盟伺服器 (例如 https://sts.contoso.com )。 如需詳細資訊,請參閱如何設定 Internet Explorer。 如果您的網路中有 Proxy,請查看此資料表結尾顯示的備註。 |
已安裝 PowerShell 5.0 或更新版本。 | Windows Server 2016 包含 PowerShell 5.0 版。 |
重要
Windows Server Core 不支援安裝 Microsoft Entra Connect Health 代理程式。
注意
如果您有高度鎖定和受限的環境,則必須新增比資料表為 Internet Explorer 增強式安全性所列更多的 URL。 同時新增在下一節資料表中列出的 URL。
新版本的代理程式和自動升級
如果發行新版本的健康情況代理程式,任何現有的已安裝代理程式都會自動更新。
Azure 服務端點的輸出連線
在安裝期間和執行階段,代理程式必須連線至 Microsoft Entra Connect Health 服務端點。 如果防火牆封鎖輸出連線能力,請確定下表中的 URL 預設不會遭到封鎖。
請勿停用這些 URL 的安全性監視或檢查。 而是允許這些 URL,因為您要允許其他網際網路流量。
這些 URL 允許與 Microsoft Entra Connect Health 服務端點進行通訊。 在本文稍後的部分中,您會了解如何藉由使用 Test-AzureADConnectHealthConnectivity
來檢查輸出連線能力。
網域環境 | 必要 Azure 服務端點 |
---|---|
一般公用 | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - 連接埠:5671 (如果封鎖 5671,則代理程式會回復至 443,但建議您使用連接埠 5671。在最新版本的代理程式中,不需要此端點。)- *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點在註冊期間僅用於探索目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - https://www.microsoft.com |
Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點在註冊期間僅用於探索目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
下載代理程式
若要下載並安裝 Microsoft Entra Connect Health 代理程式:
- 確定您符合安裝 Microsoft Entra Connect Health 的需求。
- 開始使用適用於 AD FS 的 Microsoft Entra Connect Health:
- 開始使用 Microsoft Entra Connect Health 進行同步處理:
- 下載並安裝最新版本的 Microsoft Entra Connect (英文)。 適用於同步處理的健康情況代理程式會在 Microsoft Entra Connect 安裝 (1.0.9125.0 版或更新版本) 過程中一起安裝。
- 開始使用適用於 AD Domain Services 的 Microsoft Entra Connect Health:
安裝 AD FS 的代理程式
注意
AD FS 伺服器應與同步伺服器分開。 請勿將 AD FS 代理程式安裝到同步伺服器上。
注意
適用於同步的健康情況代理程式會在 Microsoft Entra Connect 安裝 (1.0.9125.0 版或更新版本) 過程中一起安裝。 如果您嘗試在 Microsoft Entra Connect 伺服器上安裝適用於 AD FS 的舊版健康情況代理程式,您將會收到錯誤訊息。 如果您需要在電腦上安裝適用於 AD FS 的健康情況代理程式,您應該下載最新版本,然後解除安裝在 Microsoft Entra Connect 安裝期間安裝的版本。
安裝代理程式之前,請確定您的 AD FS 伺服器主機名稱是唯一的,且不存在於 AD FS 服務中。
若要開始安裝代理程式,按兩下您下載的 .exe 檔案。 在第一個對話方塊中,選取 [安裝]。
出現提示時,使用具有代理程式註冊權限的 Microsoft Entra 帳戶來登入。 根據預設,混合式身分識別管理員帳戶具有權限。
登入之後,安裝流程隨即完成,而您可以關閉視窗。
此時,系統應該會自動啟動代理程式服務,讓代理程式將必要資料安全上傳至雲端服務。
若要驗證已安裝代理程式,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra Connect 代理程式更新程式
- Microsoft Entra Connect Health 代理程式
啟用 AD FS 的稽核
注意
這一節只適用於 AD FS 伺服器。 您不必在 Web 應用程式 Proxy 伺服器上完成這些步驟。
使用情況分析功能必須收集並分析資料,因此 Microsoft Entra Connect Health 代理程式需要 AD FS 稽核記錄中的資訊。 預設不會啟用這些記錄。 使用下列程序啟用 AD FS 稽核,並在 AD FS 伺服器上找出 AD FS 稽核記錄。
啟用 AD FS 的稽核
在 [開始] 畫面上,開啟 [伺服器管理員],然後開啟 [本機安全性原則]。 或是在工作列上,開啟 [伺服器管理員],然後選取 [工具/本機安全性原則]。
移至 Security Settings\Local Policies\User Rights Assignment 資料夾。 按兩下 [產生安全性稽核]。
在 [本機安全性設定] 索引標籤上,驗證 AD FS 服務帳戶是否已列出。 如果未列出,選取 [新增使用者或群組],然後將 AD FS 服務帳戶新增至清單。 然後選取確定。
若要啟用稽核,以系統管理員身分開啟命令提示字元視窗,然後執行下列命令:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
關閉 [本機安全性原則]。
重要
僅需針對主要 AD FS 伺服器執行其餘步驟。
在 AD FS 伺服器上啟用稽核屬性
- 開啟 [AD FS 管理] 嵌入式管理單元。 (在 [伺服器管理員] 中,選取 [工具] > [AD FS 管理]。)
- 在 [動作] 窗格中,選取 [編輯同盟服務屬性]。
- 在 [同盟服務屬性] 對話方塊中,選取 [事件] 索引標籤。
- 選取 [成功稽核] 和 [失敗稽核] 核取方塊,然後選取 [確定]。 成功的稽核和失敗的稽核預設應該為啟用。
在 AD FS 伺服器上啟用稽核屬性
重要
僅需針對主要 AD FS 伺服器執行此步驟。
開啟 PowerShell 視窗並執行下列命令:
Set-AdfsProperties -AuditLevel Verbose
預設會啟用「基本」稽核層級。 如需詳細資訊,請參閱 Windows Server 2016 中的 AD FS 稽核增強功能。
確認詳細資訊記錄
若要確認詳細資訊記錄是否已啟用,請執行下列動作。
開啟 PowerShell 視窗並執行下列命令:
Get-AdfsProperties
確認已將 Auditlevel 設定為詳細資訊
確認 AD FS 服務帳戶稽核設定
- 移至 Security Settings\Local Policies\User Rights Assignment 資料夾。 按兩下 [產生安全性稽核]。
- 在 [本機安全性設定] 索引標籤上,確認已列出 AD FS 服務帳戶。 如果未列出,選取 [新增使用者或群組],然後將 AD FS 服務帳戶新增至清單。 然後選取確定。
- 關閉 [本機安全性原則]。
檢閱 AD FS 稽核記錄
啟用 AD FS 稽核記錄之後,您應該能夠使用事件檢視器來檢查 AD FS 稽核記錄。
- 開啟 [事件檢視器]。
- 移至 [Windows 記錄檔],然後選取 [安全性]。
- 在右側窗格中,選取 [篩選目前的記錄]。
- 針對 [事件來源],選取 [AD FS 稽核]。
- 您可以在這裡 \(英文\) 取得 AD FS 事件的完整清單。
如需稽核記錄的詳細資訊,請參閱作業問題。
警告
群組原則可以停用 AD FS 稽核。 如果已停用 AD FS 稽核,則無法使用有關登入活動的使用情況分析。 請確定您沒有可停用 AD FS 稽核的群組原則。
下列表格提供對應至稽核層級事件的常見事件清單
基本稽核層級事件
識別碼 | 事件名稱 | 事件描述 |
---|---|---|
1200 | AppTokenSuccessAudit | 同盟服務已發出有效權杖。 |
1201 | AppTokenFailureAudit | 同盟服務無法發出有效權杖。 |
1202 | FreshCredentialSuccessAudit | 同盟服務已驗證新認證。 |
1203 | FreshCredentialFailureAudit | 同盟服務無法驗證新認證。 |
如需詳細資訊,請參閱此處 \(英文\) 的 AD FS 事件完整清單。
詳細資訊稽核層級事件
識別碼 | 事件名稱 | 事件描述 |
---|---|---|
299 | TokenIssuanceSuccessAudit | 已成功為信賴憑證者發出權杖。 |
403 | RequestReceivedSuccessAudit | 已收到 HTTP 要求。 請參閱稽核 510,其標頭具有相同的執行個體識別碼。 |
410 | RequestContextHeadersSuccessAudit | 下列要求內容標頭存在 |
411 | SecurityTokenValidationFailureAudit | 權杖驗證失敗。 如需更多詳細資訊,請參閱內部例外狀況。 |
412 | AuthenticationSuccessAudit | 已成功驗證信賴憑證者 '%4' 的 '%3' 類型權杖。 請參閱稽核 501,其呼叫者身分識別具有相同的執行個體識別碼。 |
500 | IssuedIdentityClaims | 更多關於執行個體識別碼為 %1 之事件項目的詳細資訊。 可能有更多事件具有相同的執行個體識別碼以及更多資訊。 |
501 | CallerIdentityClaims | 更多關於執行個體識別碼為 %1 之事件項目的詳細資訊。 可能有更多事件具有相同的執行個體識別碼以及更多資訊。 |
如需詳細資訊,請參閱此處 \(英文\) 的 AD FS 事件完整清單。
測試與 Microsoft Entra Connect Health 服務的連線
有時候,Microsoft Entra Connect Health 代理程式與 Microsoft Entra Connect Health 服務可能會中斷連線。 造成此連線中斷的原因包括網路問題、權限問題和其他各種問題。
如果代理程式無法將資料傳送給 Microsoft Entra Connect Health 服務達 2 小時以上,入口網站中會出現下列警示:健全狀況服務資料不是最新資料。
您可以執行下列 PowerShell 命令,藉此確認受影響的 Microsoft Entra Connect Health 代理程式是否能將資料上傳至 Microsoft Entra Connect Health 服務:
Test-AzureADConnectHealthConnectivity -Role ADFS
Role
參數目前可接受下列值:
ADFS
Sync
ADDS
注意
若要使用連線能力工具,您必須先註冊代理程式。 如果您無法完成代理程式註冊,請確認是否已符合 Microsoft Entra Connect Health 的所有需求。 預設會在代理程式註冊期間測試連線能力。
使用 Microsoft Entra Connect Health 監視 AD FS
AD FS 的警示
〈Microsoft Entra Connect Health 警示〉一節將為您提供作用中警示的清單。 每個警示都包含相關資訊、解決步驟,以及相關文件的連結。
您可以連按兩下作用中或已解決的警示,以開啟新的刀鋒視窗,其中含有額外資訊、解決警示可以採取的步驟,以及相關文件的連結。 您也可以檢視過去已解決的警示的歷史資料。
AD FS 的使用情況分析
Microsoft Entra Connect Health 使用情況分析會分析同盟伺服器的驗證流量。 您可連按兩下使用情況分析方塊來開啟使用情況分析刀鋒視窗,以顯示數個度量和群組。
注意
若要搭配 AD FS 使用使用情況分析,您必須確定已啟用 AD FS 稽核。 如需詳細資訊,請參閱 啟用 AD FS 的稽核。
若要選取其他度量,請指定時間範圍;若要變更群組,請在使用情況分析圖表上按一下滑鼠右鍵,並選取 [編輯圖表]。 接著,您可以指定時間範圍、選取不同的度量,以及變更群組。 您可以根據不同的「度量」檢視驗證流量的分佈,並使用下列各節所述的相關「分組依據」參數來為每個度量分組:
計量:要求總數 - AD FS 服務所處理的要求總數。
Group By | 分組是什麼意思,為什麼分組很有用? |
---|---|
全部 | 顯示所有 AD FS 伺服器所處理要求總數的計數。 |
申請 | 根據目標信賴憑證者,為要求總數分組。 這個分組對於了解哪個應用程式收到多少百分比的總流量非常有幫助。 |
伺服器 | 根據處理要求的伺服器,為要求總數分組。 這個分組對於了解總流量的負載分佈非常有幫助。 |
Workplace Join | 根據要求是否來自已加入工作場所的裝置 (已知),為要求總數分組。 這個分組對於了解是否使用識別基礎結構未知的裝置存取您的資源非常有幫助。 |
驗證方法 | 根據用於驗證的驗證方法,為要求總數分組。 這個分組對於了解用於驗證的常見驗證方法非常有幫助。 以下是可能的驗證方法
如果同盟伺服器收到的要求含有 SSO Cookie,該要求就視為 SSO (單一登入)。 在這種情況下,如果 Cookie 有效,則不會要求使用者提供認證,並不間斷地存取應用程式。 如果您有多個同盟伺服器所保護的信賴憑證者,此行為非常常見。 |
網路位置 | 根據使用者的網路位置,為要求總數分組。 它可以是內部網路或外部網路。 這個分組對於了解流量百分比是來自內部網路還是外部網路非常有幫助。 |
度量:失敗要求總數 - 同盟服務所處理的失敗要求總數。 (此度量僅能在適用於 Windows Server 2012 R2 的 AD FS 上使用)
Group By | 分組是什麼意思,為什麼分組很有用? |
---|---|
錯誤類型 | 根據預先定義的錯誤類型,顯示錯誤數目。 這個分組對於了解常見的錯誤類型非常有幫助。
|
伺服器 | 依伺服器為錯誤分組。 此分組對於了解跨伺服器的錯誤分佈非常有幫助。 分佈不平均可能是伺服器處於錯誤狀態的指標。 |
網路位置 | 根據要求的網路位置 (內部網路與外部網路),為錯誤分組。 此分組對於了解失敗的要求類型非常有幫助。 |
申請 | 根據目標應用程式 (信賴憑證者),為失敗分組。 此分組對於了解哪個目標應用程式將看到最多錯誤數目非常有幫助。 |
度量︰使用者計數 - 使用 AD FS 主動驗證的唯一使用者平均數目
Group By | 分組是什麼意思,為什麼分組很有用? |
---|---|
全部 | 此度量會提供在所選時間配量內,使用同盟服務的使用者平均數目計數。 系統不會為使用者分組。 平均值取決於選取的時間配量。 |
申請 | 根據目標應用程式 (信賴憑證者),為使用者的平均數目分組。 此分組對於了解有多少使用者正在使用哪一個應用程式非常有幫助。 |
AD FS 的效能監視
Microsoft Entra Connect Health 效能監控會提供關於計量的監視資訊。 選取 [監視] 方塊,以開啟內含度量詳細資訊的新刀鋒視窗。
選取刀鋒視窗頂端的 [篩選] 選項,您可以依伺服器篩選以查看個別伺服器的度量。 若要變更度量,請在監視刀鋒視窗底下的監視圖表上按一下滑鼠右鍵,然後選取 [編輯圖表] \(或選取 [編輯圖表] 按鈕)。 在開啟的新刀鋒視窗中,您可以從下拉式清單中選取其他計量,並指定檢視效能資料的時間範圍。
使用者名稱/密碼登入失敗的前 50 個使用者
AD FS 伺服器上驗證要求失敗的常見原因之一就是要求所提供的認證無效,也就是錯誤的使用者名稱或密碼。 使用者通常是因為密碼太複雜、忘記密碼或打錯字,才會發生這種情況。
但還是有其他原因會導致 AD FS 伺服器所處理的要求數量超出預期,例如:可快取使用者認證的應用程式和到期的認證,或嘗試以一系列的常見密碼登入帳戶的惡意使用者。 這兩個範例都是可能導致要求激增的正當理由。
適用於 ADFS 的 Microsoft Entra Connect Health 會提供一份報告,內容有關因使用者名稱或密碼無效而嘗試登入失敗的前 50 位使用者。 處理伺服器陣列中所有 AD FS 伺服器所產生的稽核事件,即可達成此報告。
您可以在這份報告中輕鬆取得下列資訊︰
- 過去 30 天內使用者名稱/密碼錯誤的失敗要求總數
- 每天由於使用者名稱/密碼不正確而登入失敗的平均使用者人數。
按一下此組件即可前往可提供其他詳細資料的主要報告刀鋒視窗。 此刀鋒視窗包含一個提供趨勢資訊的圖形,以便建立有關使用者名稱或密碼錯誤之要求的基準。 此外,還提供過去一週內前 50 個使用者清單及其嘗試失敗次數。 注意過去一週內的前 50 個使用者可能有助於找出不正確密碼爆增情形。
此圖形可提供以下資訊:
- 每天由於使用者名稱/密碼不正確而登入失敗的總數。
- 每天登入失敗的唯一使用者總數。
- 最後一個要求的用戶端 IP 位址
此報表會提供下列資訊:
報告項目 | 描述 |
---|---|
使用者識別碼 | 顯示所使用的使用者識別碼。 這個值是使用者所輸入的內容,在某些情況下是所使用的錯誤使用者識別碼。 |
嘗試失敗 | 顯示該特定使用者識別碼的嘗試失敗總數。 此資料表是依據最多失敗嘗試次數以遞減順序排序。 |
上次失敗 | 顯示上次發生失敗時的時間戳記。 |
上次失敗 IP | 顯示最後一個不正確要求的用戶端 IP 位址。 如果您在此值中看到多個 IP 位址,表示其中可能同時包含轉送用戶端 IP 與使用者上次嘗試的要求 IP。 |
注意
此報告會每隔 12 小時以該段時間內收集的新資訊自動進行更新。 因此,報告中不包含過去 12 小時內的登入嘗試。