使用 Connect Health 在 Microsoft Entra ID 中登入 AD FS - 預覽
現在可使用 Connect Health 將 AD FS 登入整合至 Microsoft Entra 登入報告中。 Microsoft Entra 登入報告 (部分機器翻譯) 報告包含使用者、應用程式和受控資源何時登入 Microsoft Entra ID 並存取資源的相關資訊。
適用於 AD FS 的 Connect Health 代理程式會將多個來自 AD FS 的事件識別碼,根據伺服器版本相互關聯,提供要求相關資訊,以及要求失敗時的錯誤詳細資料。 此資訊與 Microsoft Entra 登入報告結構描述相互關聯,並顯示在 Microsoft Entra 登入報告 UX 中。 報告還有新 Log Analytics 串流及 AD FS 資料和新 Azure 監視器活頁簿範本。 您可以使用和修改範本,深入分析情節,例如 AD FS 帳戶鎖定、錯誤密碼嘗試,以及未預期的登入嘗試尖峰。
必要條件
- 已安裝適用於 AD FS 的 Microsoft Entra Connect Health 並升級至最新版本 (3.1.95.0 或更新版本)。
- 報告讀取者角色以檢視Microsoft Entra 登入
報告中顯示什麼資料?
可用的數據會鏡像Microsoft Entra 登入可用的相同數據。有五個索引標籤,其中的資訊是以登入類型為基礎,Microsoft Entra ID 或 AD FS。 Connect Health 會根據伺服器版本,將來自 AD FS 的事件相互關聯,並將其與 AD FS 結構描述進行比對。
使用者登入
[登入] 刀鋒視窗中的每個索引標籤都會顯示下方預設值:
- 登入日期
- 要求識別碼
- 使用者名稱或使用者識別碼
- 登入狀態
- 用於登入的裝置 IP 位址
- 登入識別碼
驗證方法資訊
下列值可能會顯示在 [驗證] 索引標籤中。驗證方法取自 AD FS 稽核記錄。
| 驗證方法 | 描述 |
|---|---|
| 表單 | 使用者名稱/密碼驗證 |
| Windows | Windows 整合式驗證 |
| [MSSQLSERVER 的通訊協定內容] | 使用智慧卡/VirtualSmart 憑證驗證 |
| WindowsHelloForBusiness | 此欄位適用於透過 Windows Hello 企業版驗證。 (Microsoft Passport 驗證) |
| 裝置 | 選取裝置驗證當作來自內部網路/外部網路的「主要」驗證,且執行裝置驗證時顯示。 此案例中沒有個別的用戶驗證。 |
| 同盟 | AD FS 未執行驗證,而是將它傳送給第三方識別提供者 |
| SSO | 如果使用單一登錄令牌,則會顯示此欄位。 如果 SSO 具有 MFA,則會顯示為多重要素 |
| Multifactor | 如果單一登錄令牌具有 MFA 且用於驗證,此字段會顯示為 Multifactor |
| Microsoft Entra 多重要素驗證 | Microsoft已選取 Entra 多重要素驗證作為 AD FS 中的其他驗證提供者,並用於驗證 |
| ADFSExternalAuthenticationProvider | 此欄位為如果協力廠商驗證提供者已註冊並用於驗證 |
AD FS 其他詳細資料
下列詳細資料適用於 AD FS 登入:
- 伺服器名稱
- IP 鏈結
- 通訊協定
啟用 Log Analytics 和 Azure 監視器
您可以針對 AD FS 登入啟用 Log Analytics,並可與任何其他整合 Log Analytics 的元件 (如 Sentinel) 搭配使用。
注意
視您組織中登入 AD FS 的數量而定,AD FS 登入可能會大幅增加 Log Analytics 成本。 若要啟用和停用 Log Analytics,請選取串流的核取方塊。
若要為此功能啟用 Log Analytics,請瀏覽至 [Log Analytics] 刀鋒視窗,然後選取 [ADFSSignIns] 串流。 此選取專案可讓AD FS登入流入Log Analytics。
若要存取更新的 Azure 監視器活頁簿範本,請瀏覽至 [Azure 監視器範本],然後選取 [登入] 活頁簿。 如需活頁簿的詳細資訊,請造訪 Azure 監視器活頁簿。
常見問題集
我可以看到哪些登入類型?登入報告支援透過 O-Auth、WS-Fed、SAML 和 WS-Trust 通訊協定的登入。
登入報告中如何顯示不同類型的登入? 如果執行無縫 SSO 登入,則會有一個數據列用於具有一個相互關聯標識碼的登入。 如果執行單一要素驗證,兩個數據列會填入相同的相互關聯標識碼,但有兩個不同的驗證方法(也就是 Forms、SSO)。 在多重要素驗證的情況下,有三個數據列具有共用相互關聯標識符和三個對應的驗證方法(也就是窗體、Microsoft Entra 多重要素驗證、多重要素)。 在此特定範例中,此案例中的多重要素顯示 SSO 具 MFA。
我會在報告中看到哪些錯誤?如需填入登入報告和說明的 AD FS 相關錯誤完整清單,請造訪 AD FS 說明錯誤碼參考 (英文)
我在登入的 [使用者] 區段中看到 “00000000-0000-0000-00000000000000” 一節。那是什麼意思? 如果登入失敗,且嘗試的UPN不符合現有的UPN,[使用者]、[用戶名稱] 和 [使用者標識符] 字段是 “00000000000-0000-0000-0000-0000000000000”,以及填入使用者所嘗試值的 [登入標識符]。 在這些情況下,嘗試登入的使用者不存在。
如何將內部部署事件與 Microsoft Entra 登入報告相互關聯?適用於 AD FS 的 Microsoft Entra Connect Health 代理程式會根據伺服器版本,將來自 AD FS 的事件識別碼相互關聯。 這些事件可在AD FS 伺服器的安全性記錄檔上取得。
為什麼我在某些 AD FS 登入的應用程式識別碼/名稱中看到 NotSet 或 NotApplicable? AD FS 登入報告會在 OAuth 登入的應用程式識別符欄位中顯示 OAuth 識別碼。在 WS-Fed、WS-Trust 登入案例中,應用程式識別碼為 NotSet 或 NotApplicable,且資源識別碼和信賴憑證者標識碼會出現在 [資源標識符] 欄位中。
為什麼我會看到 [資源標識符] 和 [資源名稱] 字段為 「未設定」? 在某些情況下,ResourceId/Name 欄位為 「NotSet」,例如「使用者名稱和密碼不正確」,以及 WSTrust 型登入失敗。
預覽版報表是否有更已知的問題? 報表有一個已知問題,其中不論登入為何,[基本資訊] 索引標籤中的 [驗證需求] 字段都會填入為 AD FS 登入的單一要素驗證值。 此外,[驗證詳細數據] 索引標籤會顯示 [需求] 欄位下的 [主要] 或 [次要],並修正以區分主要或次要驗證類型。