Monitorare ed esaminare i log per gli ambienti di Protezione password di Microsoft Entra locale
Dopo la distribuzione di Microsoft Entra Password Protection, il monitoraggio e la creazione di report sono attività essenziali. Questo articolo illustra in dettaglio le varie tecniche di monitoraggio, tra cui dove ogni servizio registra informazioni e come segnalare l'uso di Microsoft Entra Password Protection.
Il monitoraggio e la creazione di report vengono eseguiti dai messaggi del registro eventi o eseguendo i cmdlet di PowerShell. L'agente del controller di dominio e i servizi proxy registrano entrambi i messaggi del registro eventi. Tutti i cmdlet di PowerShell descritti di seguito sono disponibili solo nel server proxy (vedere il modulo AzureADPasswordProtection di PowerShell). Il software agente del controller di dominio non installa un modulo di PowerShell.
Registrazione eventi dell'agente del controller di dominio
In ogni controller di dominio il software del servizio agente del controller di dominio scrive i risultati di ogni singola operazione di convalida delle password (e altri stati) in un log eventi locale:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Il log degli eventi di amministrazione dell'agente del controller di dominio è la principale fonte di informazioni sul comportamento del software.
Il log di traccia è disattivato per impostazione predefinita.
Gli eventi registrati dai diversi componenti dell'agente del controller di dominio rientrano negli intervalli seguenti:
Componente | Intervallo di ID evento |
---|---|
DLL di filtro delle password dell'agente del controller di dominio | 10000-19999 |
Processo di hosting del servizio agente del controller di dominio | 20000-29999 |
Logica di convalida dei criteri del servizio agente del controller di dominio | 30000-39999 |
Log eventi di amministrazione dell'agente del controller di dominio
Eventi relativi ai risultati di convalida delle password
In ogni controller di dominio il software del servizio agente del controller di dominio scrive i risultati di ogni singola operazione di convalida delle password nel log eventi di amministrazione dell'agente stesso.
Per un'operazione di convalida delle password riuscita, in genere viene registrato un evento dalla DLL di filtro delle password dell'agente del controller di dominio. Per un'operazione di convalida delle password non riuscita, vengono in genere registrati due eventi, uno dal servizio agente del controller di dominio e uno dalla DLL di filtro delle password dell'agente del controller di dominio.
Vengono registrati eventi discreti per acquisire informazioni riguardo a queste situazioni, in base ai fattori seguenti:
- Se una password specifica è o meno in fase di impostazione o modifica.
- Se la convalida di una password specifica è o meno riuscita.
- Se la convalida non è riuscita a causa dei criteri globali Microsoft, dei criteri aziendali o di una combinazione di entrambi.
- Se la modalità di solo controllo è attualmente attivata o disattivata per i criteri password correnti.
Gli eventi principali relativi alla convalida delle password sono i seguenti:
Event | Modifica della password | Impostazione della password |
---|---|---|
Riuscito | 10014 | 10015 |
Non riuscita (a causa dei criteri per le password del cliente) | 10016, 30002 | 10017, 30003 |
Non riuscita (a causa dei criteri per le password di Microsoft) | 10016, 30004 | 10017, 30005 |
Non riuscita (a causa di una combinazione dei criteri per le password di Microsoft e del cliente) | 10016, 30026 | 10017, 30027 |
Errore (a causa del nome utente) | 10016, 30021 | 10017, 30022 |
Passaggio di solo controllo (non soddisferebbe i criteri password del cliente) | 10024, 30008 | 10025, 30007 |
Passaggio di solo controllo (non soddisferebbe i criteri password Microsoft) | 10024, 30010 | 10025, 30009 |
Riuscita solo a livello di controllo (non soddisferebbe la combinazione dei criteri per le password di Microsoft e del cliente) | 10024, 30028 | 10025, 30029 |
Pass di sola controllo (avrebbe avuto esito negativo a causa del nome utente) | 10016, 30024 | 10017, 30023 |
I casi che si riferiscono alla combinazione di criteri, nella tabella riportata sopra, riguardano situazioni in cui è stata rilevata una password di un utente che contiene almeno un token dell'elenco di password escluse sia di Microsoft che del cliente.
I casi nella tabella precedente che fanno riferimento a "nome utente" si riferiscono a situazioni in cui è stata trovata la password di un utente per contenere il nome dell'account dell'utente e/o uno dei nomi descrittivi dell'utente. Uno scenario causerà il rifiuto della password dell'utente quando il criterio è impostato su Imponi o passato se il criterio è in modalità di controllo.
Quando una coppia di eventi viene registrata insieme, entrambi vengono associati in modo esplicito in base allo stesso ID di correlazione.
Creazione di report di riepilogo sulla convalida delle password tramite PowerShell
È possibile usare il cmdlet Get-AzureADPasswordProtectionSummaryReport
per produrre una visualizzazione di riepilogo dell'attività di convalida delle password. Di seguito viene mostrato un esempio dell'output di questo cmdlet:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
L'ambito dei report del cmdlet può essere influenzato usando uno dei parametri –Forest, -Domain o –DomainController. Se non si specifica un parametro, viene usato il parametro –Forest.
Nota
Se si installa solo l'agente del controller di dominio in un controller di dominio, Get-AzureADPasswordProtectionSummaryReport leggerà gli eventi solo da tale controller di dominio. Per ottenere eventi da più controller di dominio, è necessario che l'agente del controller di dominio sia installato in ogni controller di dominio.
Il cmdlet Get-AzureADPasswordProtectionSummaryReport
esegue query sul log eventi dell'agente del controller di dominio e quindi conta il numero totale di eventi che corrispondono a ogni categoria di risultati visualizzata. La tabella seguente contiene i mapping tra ogni risultato e l'ID evento corrispondente:
Proprietà Get-AzureADPasswordProtectionSummaryReport | ID evento corrispondente |
---|---|
PasswordChangesValidated | 10014 |
PasswordSetsValidated | 10015 |
PasswordChangesRejected | 10016 |
PasswordSetsRejected | 10017 |
PasswordChangeAuditOnlyFailures | 10024 |
PasswordSetAuditOnlyFailures | 10025 |
PasswordChangeErrors | 10012 |
PasswordSetErrors | 10013 |
Il cmdlet Get-AzureADPasswordProtectionSummaryReport
viene fornito nel formato di script di PowerShell e, se necessario, vi si può fare riferimento direttamente al percorso seguente:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Nota
Questo cmdlet funziona aprendo una sessione di PowerShell per ogni controller di dominio. Per il corretto funzionamento, il supporto di sessioni remote di PowerShell deve essere abilitato in ogni controller di dominio e il client deve avere privilegi sufficienti. Per altre informazioni sui requisiti per le sessioni remote di PowerShell, eseguire 'Get-Help about_Remote_Troubleshooting' in una finestra di PowerShell.
Nota
Questo cmdlet funziona eseguendo query remote su ogni servizio agente del controller di dominio Amministrazione registro eventi. Se i log eventi contengono un numero elevato di eventi, il completamento del cmdlet potrebbe richiedere molto tempo. Inoltre, le query di rete in blocco di grandi set di dati possono influire sulle prestazioni dei controller di dominio. Di conseguenza, questo cmdlet deve essere usato con cautela negli ambienti di produzione.
Messaggi del registro eventi di esempio
ID evento 10014 (modifica della password riuscita)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID evento 10017 (modifica della password non riuscita):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID evento 30003 (modifica della password non riuscita):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID evento 10024 (password accettata a causa dei criteri in modalità di solo controllo)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID evento 30008 (password accettata a causa dei criteri in modalità di solo controllo)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
ID evento 30001 (password accettata a causa di nessun criterio disponibile)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
ID evento 30006 (nuovi criteri applicati)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
ID evento 30019 (La protezione password di Microsoft Entra è disabilitata)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Log operativo agente del controller di dominio
Il servizio agente del controller di dominio registra anche gli eventi operativi correlati al log seguente:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Log di traccia agente del controller di dominio
Il servizio agente del controller di dominio può registrare anche eventi di traccia a livello di debug dettagliati nel log seguente:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
La registrazione della traccia è disabilitata per impostazione predefinita.
Avviso
Quando è abilitato, il log di traccia riceve un numero elevato di eventi e può influire sulle prestazioni del controller di dominio. Di conseguenza, questo log avanzato deve essere abilitato solo quando un problema richiede un'indagine più approfondita e solo per un periodo di tempo minimo.
Registrazione di testo agente del controller di dominio
Il servizio agente del controller di dominio può essere configurato per scrivere in un log di testo impostando il valore del Registro di sistema seguente:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
La registrazione di testo è disabilitata per impostazione predefinita. Per rendere effettive le modifiche, è necessario riavviare il servizio agente del controller di dominio. Quando il servizio agente del controller di dominio è abilitato, scrive in un file di log che si trova in:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Suggerimento
Il log di testo riceve le stesse voci a livello di debug che possono essere registrate nel log di traccia, ma è in genere in un formato più semplice da esaminare e analizzare.
Avviso
Quando è abilitato, questo log riceve un numero elevato di eventi e può influire sulle prestazioni del controller di dominio. Di conseguenza, questo log avanzato deve essere abilitato solo quando un problema richiede un'indagine più approfondita e solo per un periodo di tempo minimo.
Monitoraggio delle prestazioni dell'agente del controller di dominio
Il software del servizio agente del controller di dominio installa un oggetto contatore delle prestazioni denominato Microsoft Entra Password Protection. Sono attualmente disponibili i contatori delle prestazioni seguenti:
Nome contatore delle prestazioni | Descrizione |
---|---|
Passwords processed (Password elaborate) | Questo contatore indica il numero totale di password elaborate (accettate o rifiutate) dall'ultimo riavvio. |
Passwords accepted (Password accettate) | Questo contatore indica il numero totale di password accettate dall'ultimo riavvio. |
Password rejected (Password rifiutate) | Questo contatore indica il numero totale di password rifiutate dall'ultimo riavvio. |
Password filter requests in progress (Richieste filtro password in corso) | Questo contatore indica il numero di richieste di filtro delle password attualmente in corso. |
Peak password filter requests (Max richieste filtro password) | Questo contatore indica il numero massimo di richieste di filtro delle password simultanee dall'ultimo riavvio. |
Password filter request errors (Errori richieste filtro password) | Questo contatore indica il numero totale di richieste di filtro delle password non riuscite a causa di un errore dall'ultimo riavvio. Gli errori possono verificarsi quando il servizio agente del controller di dominio di protezione password Microsoft Entra non è in esecuzione. |
Password filter requests/sec (Richieste filtro password al secondo) | Questo contatore indica la frequenza con cui vengono elaborate le richieste. |
Password filter request processing time (Tempo di elaborazione richieste filtro password) | Questo contatore indica il tempo medio necessario per elaborare una richiesta di filtro delle password. |
Peak password filter request processing time (Tempo di elaborazione max richieste filtro password) | Questo contatore indica il tempo di elaborazione massimo delle richieste di filtro delle password dall'ultimo riavvio. |
Passwords accepted due to audit mode (Password accettate a causa della modalità di controllo) | Questo contatore indica il numero totale di password che verrebbero normalmente rifiutate, ma che sono state accettate perché i criteri delle password sono stati configurati come in modalità di controllo (dall'ultimo riavvio). |
Individuazione dell'agente del controller di dominio
È possibile usare il cmdlet Get-AzureADPasswordProtectionDCAgent
per visualizzare informazioni di base sui diversi agenti del controller di dominio in esecuzione in un dominio o una foresta. Queste informazioni vengono recuperate dagli oggetti serviceConnectionPoint registrati da uno o più servizi agente del controller di dominio in esecuzione.
Di seguito viene mostrato un esempio dell'output di questo cmdlet:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Le diverse proprietà vengono aggiornate da ogni servizio agente del controller di dominio all'incirca ogni ora. I dati sono comunque soggetti alla latenza di replica di Active Directory.
L'ambito della query del cmdlet può essere influenzato usando i parametri –Forest o –Domain.
Se il valore HeartbeatUTC non è aggiornato, questo può essere un sintomo che l'agente del controller di dominio di protezione password Di Microsoft Entra in tale controller di dominio non è in esecuzione o è stato disinstallato oppure il computer è stato abbassato di livello e non è più un controller di dominio.
Se il valore PasswordPolicyDateUTC non è aggiornato, questo può essere un sintomo che l'agente del controller di dominio di protezione password Di Microsoft Entra in tale computer non funziona correttamente.
Versione più recente dell'agente del controller di dominio disponibile
Il servizio agente del controller di dominio registra un evento di avviso 30034 nel log operativo quando rileva che è disponibile una versione più recente del software agente del controller di dominio, ad esempio:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
L'evento precedente non specifica la versione del software più recente. Per tali informazioni, passare al collegamento nel messaggio dell'evento.
Nota
Nonostante i riferimenti a "autoupgrade" nel messaggio di evento precedente, il software agente del controller di dominio non supporta attualmente questa funzionalità.
Registrazione eventi del servizio proxy
Il servizio proxy genera un set minimo di eventi per i log eventi seguenti:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Il log di traccia è disattivato per impostazione predefinita.
Avviso
Quando è abilitato, il log di traccia riceve un numero elevato di eventi e può influire sulle prestazioni dell'host del proxy. Di conseguenza, questo log deve essere abilitato solo quando un problema richiede un'indagine più approfondita e solo per un periodo di tempo minimo.
Gli eventi vengono registrati dai diversi componenti proxy tramite gli intervalli seguenti:
Componente | Intervallo di ID evento |
---|---|
Processo di hosting del servizio proxy | 10000-19999 |
Logica di business di base del servizio proxy | 20000-29999 |
Cmdlet di PowerShell | 30000-39999 |
Registrazione di testo del servizio proxy
Il servizio proxy può essere configurato per scrivere in un log di testo impostando il valore del Registro di sistema seguente:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1 (valore REG_DWORD)
La registrazione di testo è disabilitata per impostazione predefinita. Per rendere effettive le modifiche, è necessario riavviare il servizio proxy. Quando è abilitato, il servizio proxy scrive in un file di log che si trova in:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Suggerimento
Il log di testo riceve le stesse voci a livello di debug che possono essere registrate nel log di traccia, ma è in genere in un formato più semplice da esaminare e analizzare.
Avviso
Quando è abilitato, questo log riceve un numero elevato di eventi e può influire sulle prestazioni del computer. Di conseguenza, questo log avanzato deve essere abilitato solo quando un problema richiede un'indagine più approfondita e solo per un periodo di tempo minimo.
Registrazione di cmdlet di PowerShell
I cmdlet di PowerShell che generano una modifica dello stato (ad esempio Register-AzureADPasswordProtectionProxy) normalmente registrano un evento risultato nel log operativo.
Inoltre, la maggior parte dei cmdlet di PowerShell per la protezione password di Microsoft Entra scriverà in un log di testo che si trova in:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Se si verifica un errore di cmdlet e la causa e/o soluzione non è immediatamente evidente, è possibile consultare anche questi log di testo.
Individuazione dei servizi proxy
Il Get-AzureADPasswordProtectionProxy
cmdlet può essere usato per visualizzare informazioni di base sui vari servizi proxy di protezione password di Microsoft Entra in esecuzione in un dominio o in una foresta. Queste informazioni vengono recuperate dagli oggetti serviceConnectionPoint registrati dai servizi proxy in esecuzione.
Di seguito viene mostrato un esempio dell'output di questo cmdlet:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Le diverse proprietà vengono aggiornate da ogni servizio proxy all'incirca ogni ora. I dati sono comunque soggetti alla latenza di replica di Active Directory.
L'ambito della query del cmdlet può essere influenzato usando i parametri –Forest o –Domain.
Se il valore HeartbeatUTC non è aggiornato, questo può essere un sintomo che microsoft Entra Password Protection Proxy in tale computer non è in esecuzione o è stato disinstallato.
Versione più recente dell'agente proxy disponibile
Il servizio proxy registra un evento di avviso 20002 nel log operativo quando rileva che è disponibile una versione più recente del software proxy, ad esempio:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
L'evento precedente non specifica la versione del software più recente. Per tali informazioni, passare al collegamento nel messaggio dell'evento.
Questo evento verrà generato anche se l'agente proxy è configurato con autoupgrade abilitato.
Passaggi successivi
Risoluzione dei problemi relativi alla protezione password di Microsoft Entra
Per altre informazioni sugli elenchi personalizzati di password escluse, vedere l'articolo Eliminare le password non appropriate nell'organizzazione
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per