Monitorare AD FS con Azure AD Connect HealthMonitor AD FS using Azure AD Connect Health

La documentazione seguente è specifica per il monitoraggio dell'infrastruttura AD FS con Azure AD Connect Health.The following documentation is specific to monitoring your AD FS infrastructure with Azure AD Connect Health. Per informazioni sul monitoraggio di Azure Active Directory Connect (Sincronizzazione) con Azure AD Connect Health, vedere Uso di Azure AD Connect Health per la sincronizzazione. Per informazioni sul monitoraggio di Servizi di dominio Active Directory con Azure AD Connect Health, vedere Uso di Azure AD Connect Health con Servizi di dominio Active Directory.For information on monitoring Azure AD Connect (Sync) with Azure AD Connect Health, see Using Azure AD Connect Health for Sync. Additionally, for information on monitoring Active Directory Domain Services with Azure AD Connect Health, see Using Azure AD Connect Health with AD DS.

Avvisi per AD FSAlerts for AD FS

La sezione degli avvisi di Azure AD Connect Health contiene l'elenco degli avvisi attivi.The Azure AD Connect Health Alerts section provides you the list of active alerts. Ogni avviso include informazioni pertinenti, la procedura di risoluzione e collegamenti alla documentazione correlata.Each alert includes relevant information, resolution steps, and links to related documentation.

È possibile fare doppio clic su un avviso attivo o risolto per aprire un nuovo pannello con informazioni aggiuntive, procedure utili per risolvere l'avvisto e collegamenti alla documentazione rilevante.You can double-click an active or resolved alert, to open a new blade with additional information, steps you can take to resolve the alert, and links to relevant documentation. È anche possibile visualizzare dati storici sugli avvisi risolti in passato.You can also view historical data on alerts that were resolved in the past.

portale di Azure AD Connect Health

Analisi di utilizzo per AD FSUsage Analytics for AD FS

Analisi di utilizzo di Azure AD Connect Health analizza il traffico di autenticazione dei server federativi.Azure AD Connect Health Usage Analytics analyzes the authentication traffic of your federation servers. È possibile fare doppio clic sulla casella dell'analisi di utilizzo per aprire il pannello corrispondente, che mostra diverse metriche e diversi raggruppamenti.You can double-click the usage analytics box, to open the usage analytics blade, which shows you several metrics and groupings.

Nota

Per poter usare l'analisi di utilizzo con AD FS, è necessario verificare che il controllo di AD FS sia abilitato.To use Usage Analytics with AD FS, you must ensure that AD FS auditing is enabled. Per altre informazioni, vedere Abilitare il controllo per AD FS.For more information, see Enable Auditing for AD FS.

portale di Azure AD Connect Health

Per selezionare altre metriche, specificare un intervallo di tempo o modificare il raggruppamento, è sufficiente fare clic con il pulsante destro del mouse sul pannello dell'analisi di utilizzo e scegliere Modifica grafico.To select additional metrics, specify a time range, or to change the grouping, right-click on the usage analytics chart and select Edit Chart. È quindi possibile specificare l'intervallo di tempo, selezionare metriche diverse e cambiare il raggruppamento.Then you can specify the time range, select a different metric, and change the grouping. È possibile visualizzare la distribuzione del traffico di autenticazione in "metriche" diverse e raggruppare ogni metrica con i parametri di raggruppamento pertinenti descritti nella sezione seguente:You can view the distribution of the authentication traffic based on different "metrics" and group each metric using relevant "group by" parameters described in the following section:

Metrica: richieste totali, numero totale di richieste elaborate dal servizio AD FS.Metric : Total Requests - Total number of requests processed by AD FS servers.

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
TuttiAll Mostra il conteggio del numero totale di richieste elaborate da tutti i server AD FS.Shows the count of total number of requests processed by all AD FS servers.
ApplicazioneApplication Raggruppa le richieste totali in base alla relying party di destinazione.Groups the total requests based on the targeted relying party. Questo raggruppamento è utile per conoscere la percentuale del traffico totale ricevuta da ogni applicazione.This grouping is useful to understand which application is receiving how much percentage of the total traffic.
ServerServer Raggruppa le richieste totali in base al server che ha elaborato la richiesta.Groups the total requests based on the server that processed the request. Questo raggruppamento è utile per conoscere la distribuzione del carico del traffico totale.This grouping is useful to understand the load distribution of the total traffic.
Aggiunta all'area di lavoroWorkplace Join Raggruppa le richieste totali in base al fatto che provengano da dispositivi aggiunti all'area di lavoro (noti).Groups the total requests based on whether they are coming from devices that are workplace joined (known). Questo raggruppamento è utile per conoscere se le risorse sono accessibili con dispositivi sconosciuti all'infrastruttura di gestione delle identità.This grouping is useful to understand if your resources are accessed using devices that are unknown to the identity infrastructure.
Metodo di autenticazioneAuthentication Method Raggruppa le richieste totali in base al metodo di autenticazione usato per l'autenticazione.Groups the total requests based on the authentication method used for authentication. Questo raggruppamento è utile per conoscere il metodo di autenticazione comune usato per l'autenticazione.This grouping is useful to understand the common authentication method that gets used for authentication. Di seguito sono indicati i metodi di autenticazione possibili Following are the possible authentication methods
  1. Autenticazione integrata di Windows (Windows)Windows Integrated Authentication (Windows)
  2. Autenticazione basata su moduli (Forms)Forms Based Authentication (Forms)
  3. SSO (Single Sign On)SSO (Single Sign On)
  4. Autenticazione certificato X509 (certificato)X509 Certificate Authentication (Certificate)

  5. Se i server federativi ricevono la richiesta con un cookie SSO, tale richiesta viene considerata SSO (Single Sign-On).If the federation servers receive the request with an SSO Cookie, that request is counted as SSO (Single Sign On). In questi casi, se il cookie è valido, all'utente non viene chiesto di fornire le credenziali e ottiene l'accesso trasparente all'applicazione.In such cases, if the cookie is valid, the user is not asked to provide credentials and gets seamless access to the application. Questo comportamento è normale se sono presenti più relying party protette dai server federativi.This behavior is common if you have multiple relying parties protected by the federation servers.
Percorso di reteNetwork Location Raggruppa le richieste totali in base al percorso di rete dell'utente.Groups the total requests based on the network location of the user. Può essere Intranet o Extranet.It can be either intranet or extranet. Questo raggruppamento è utile per conoscere la percentuale del traffico proveniente dalla Intranet e dalla Extranet.This grouping is useful to know what percentage of the traffic is coming from the intranet versus extranet.

Metrica: totale richieste non riuscite, numero totale di richieste non riuscite elaborate dal servizio federativo.Metric: Total Failed Request - The total number failed requests processed by the federation service. (Questa metrica è disponibile solo in AD FS per Windows Server 2012 R2)(This metric is only available on AD FS for Windows Server 2012 R2)

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
Tipo di erroreError Type Mostra il numero di errori in base ai tipi di errore predefiniti.Shows the number of errors based on predefined error types. Questo raggruppamento è utile per conoscere i tipi di errori comuni.This grouping is useful to understand the common types of errors.
  • Nome utente o password non corretta: errori causati da un nome utente o una password non corretta.Incorrect Username or Password: Errors due to incorrect username or password.
  • "Blocco Extranet": errori causati dalle richieste ricevute da un utente per il quale è stato bloccato l'accesso alla Extranet."Extranet Lockout": Failures due to the requests received from a user that was locked out from extranet
  • "Password scaduta": errori causati da utenti che effettuano l'accesso con una password scaduta."Expired Password": Failures due to users logging in with an expired password.
  • "Account disabilitato": errori causati da utenti che effettuano l'accesso con un account disabilitato."Disabled Account": Failures due to users logging with a disabled account.
  • "Autenticazione dispositivo": errori causati da utenti che non riescono ad autenticarsi con Autenticazione dispositivo."Device Authentication": Failures due to users failing to authenticate using Device Authentication.
  • "Autenticazione certificato utente": errori causati da utenti che non riescono ad autenticarsi a causa di un certificato non valido."User Certificate Authentication": Failures due to users failing to authenticate because of an invalid certificate.
  • "MFA": errori causati da utenti che non riescono ad autenticarsi con Multi-Factor Authentication."MFA": Failures due to user failing to authenticate using Multi-Factor Authentication.
  • "Altre credenziali" e "Autorizzazione rilascio": errori causati da errori di autorizzazione."Other Credential": "Issuance Authorization": Failures due to authorization failures.
  • "Delega rilascio": errori causati da errori di delega rilascio."Issuance Delegation": Failures due to issuance delegation errors.
  • "Accettazione token": errori causati dal rifiuto da parte di AD FS del token di un provider di identità di terze parti."Token Acceptance": Failures due to ADFS rejecting the token from a third-party Identity Provider.
  • "Protocollo": errore causato da errori del protocollo."Protocol": Failure due to protocol errors.
  • "Sconosciuto": tutti gli errori."Unknown": Catch all. Eventuali altri errori che non rientrano nelle categorie definite.Any other failures that do not fit into the defined categories.
ServerServer Raggruppa gli errori in base al server.Groups the errors based on the server. Questo raggruppamento è utile per conoscere la distribuzione degli errori nei server.This grouping is useful to understand the error distribution across servers. Una distribuzione non uniforme potrebbe indicare che un server è in uno stato difettoso.Uneven distribution could be an indicator of a server in a faulty state.
Percorso di reteNetwork Location Raggruppa gli errori in base al percorso di rete delle richieste (Intranet ed Extranet).Groups the errors based on the network location of the requests (intranet vs extranet). Questo raggruppamento è utile per conoscere il tipo di richieste che hanno esito negativo.This grouping is useful to understand the type of requests that are failing.
ApplicazioneApplication Raggruppa gli errori in base all'applicazione di destinazione (relying party).Groups the failures based on the targeted application (relying party). Questo raggruppamento è utile per conoscere l'applicazione di destinazione che sta visualizzando il maggior numero di errori.This grouping is useful to understand which targeted application is seeing most number of errors.

Metrica: numero di utenti, media del numero di utenti univoci che eseguono attivamente l'autenticazione con ADFSMetric : User Count - Average number of unique users actively authenticating using AD FS

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
TuttiAll Questa metrica fornisce un conteggio del numero medio di utenti che usano il servizio federativo nel periodo di tempo selezionato.This metric provides a count of average number of users using the federation service in the selected time slice. Gli utenti non sono raggruppati.The users are not grouped.
La media dipende dal periodo di tempo selezionato.The average depends on the time slice selected.
ApplicazioneApplication Raggruppa il numero medio di utenti in base all'applicazione di destinazione (relying party).Groups the average number of users based on the targeted application (relying party). Questo raggruppamento è utile per conoscere quanti utenti stanno usando una determinata applicazione.This grouping is useful to understand how many users are using which application.

Monitoraggio delle prestazioni per AD FSPerformance Monitoring for AD FS

Il monitoraggio delle prestazioni di Azure AD Connect Health offre informazioni di monitoraggio sulle metriche.Azure AD Connect Health Performance Monitoring provides monitoring information on metrics. Se si seleziona la casella Monitoraggio, viene visualizzato un nuovo pannello che include informazioni dettagliate sulle metriche.Selecting the Monitoring box, opens a new blade with detailed information on the metrics.

portale di Azure AD Connect Health

Selezionando l'opzione Filtro nella parte superiore del pannello, è possibile filtrare in base al server per visualizzare le metriche di un singolo server.By selecting the Filter option at the top of the blade, you can filter by server to see an individual server’s metrics. Per modificare le metriche, fare clic con il pulsante destro del mouse sul grafico di monitoraggio nel pannello Monitoraggio e scegliere Modifica grafico (oppure selezionare il pulsante Modifica grafico).To change metric, right-click on the monitoring chart under the monitoring blade and select Edit Chart (or select the Edit Chart button). Dal nuovo pannello visualizzato è possibile selezionare altre metriche nell'elenco a discesa e specificare un intervallo di tempo per cui visualizzare i dati delle prestazioni.From the new blade that opens up, you can select additional metrics from the drop-down and specify a time range for viewing the performance data.

Report per AD FSReports for AD FS

Azure AD Connect Health fornisce report sulle attività e le prestazioni di AD FS.Azure AD Connect Health provides reports about activity and performance of AD FS. I report forniscono informazioni significative sulle attività dei server AD FS agli amministratori.These reports help administrators gain insight into activities on their AD FS servers.

Primi 50 utenti con accessi tramite nome utente/password non riuscitiTop 50 Users with failed Username/Password logins

Uno dei motivi più comuni per cui una richiesta di autenticazione può non riuscire in un server AD FS è l'uso di credenziali che non sono valide, vale a dire che il nome utente o la password non è valida.One of the common reasons for a failed authentication request on an AD FS server is a request with invalid credentials, that is, a wrong username or password. Gli utenti rilevano questo problema in genere a causa di password complesse, password dimenticate o errori di digitazione.Usually happens to users due to complex passwords, forgotten passwords, or typos.

Esistono tuttavia altri motivi che possono provocare un numero inaspettatamente elevato di richieste gestite dai server AD FS, ad esempio un'applicazione che memorizza nella cache le credenziali utente in corrispondenza con la scadenza delle credenziali oppure un utente malintenzionato che prova ad accedere a un account con una serie di password note.But there are other reasons that can result in an unexpected number of requests being handled by your AD FS servers, such as: An application that caches user credentials and the credentials expire or a malicious user attempting to sign into an account with a series of well-known passwords. Questi due esempi sono motivi validi di un'eventuale picco nelle richieste.These two examples are valid reasons that could lead to a surge in requests.

Azure AD Connect Health per AD FS fornisce un report sui primi 50 utenti con tentativi di accesso non riusciti a causa di un nome utente o una password non valida.Azure AD Connect Health for ADFS provides a report about top 50 Users with failed login attempts due to invalid username or password. Questo report viene ottenuto elaborando gli eventi di controllo generati da tutti i server AD FS nelle farm.This report is achieved by processing the audit events generated by all the AD FS servers in the farms

portale di Azure AD Connect Health

All'interno del report è possibile accedere facilmente alle informazioni seguenti:Within this report you have easy access to the following pieces of information:

  • Numero totale di richieste non riuscite con nome utente o password non valida negli ultimi 30 giorni.Total # of failed requests with wrong username/password in the last 30 days
  • Numero medio di utenti che non sono riusciti ad accedere con un nome utente o una password non valida ogni giorno.Average # of users that failed with a bad username/password login per day.

Facendo clic su questa parte si passa al pannello principale del report che fornisce dettagli aggiuntivi.Clicking this part takes you to the main report blade that provides additional details. Questo pannello include un grafico con le informazioni relative alla tendenza, utile per stabilire una baseline sulle richieste con nome utente non valido o password errata.This blade includes a graph with trending information to help establish a baseline about requests with wrong username or password. Fornisce anche l'elenco dei primi 50 utenti con il numero di tentativi non riusciti.Additionally, it provides the list of top 50 users with the number of failed attempts.

Il grafico fornisce le informazioni seguenti:The graph provides the following information:

  • Numero totale di accessi non riusciti a causa di un nome utente o una password non valida ogni giorno.The total # of failed logins due to a bad username/password on a per-day basis.
  • Numero totale di utenti univoci con accessi non riusciti ogni giorno.The total # of unique users that failed logins on a per-day basis.
  • Indirizzo IP client dell'ultima richiestaClient IP address of for last request

portale di Azure AD Connect Health

Il report fornisce le informazioni seguenti:The report provides the following information:

Elemento del reportReport Item DescrizioneDescription
ID utenteUser ID Mostra l'ID utente che è stato usato.Shows the user ID that was used. Questo valore corrisponde a quanto digitato dall'utente, che a volte corrisponde all'uso di un ID utente non valido.This value is what the user typed, which in some cases is the wrong user ID being used.
Tentativi non riuscitiFailed Attempts Mostra il numero totale di tentativi non riusciti per l'ID utente specifico.Shows the total # of failed attempts for that specific user ID. La tabella è riportata in ordine decrescente a partire dal numero maggiore di tentativi non riusciti.The table is sorted with the most number of failed attempts in descending order.
Ultimo erroreLast Failure Mostra il timestamp del momento in cui si è verificato l'ultimo errore.Shows the time stamp when the last failure occurred.
Ultimo errore IPLast Failure IP Mostra l'indirizzo IP client dell'ultima richiesta non valida.Shows the Client IP address from the latest bad request.

Nota

Il report viene aggiornato automaticamente ogni due ore con le nuove informazioni raccolte.This report is automatically updated after every two hours with the new information collected within that time. Di conseguenza, i tentativi di accesso nelle ultime due ore potrebbero non essere inclusi nel report.As a result, login attempts within the last two hours may not be included in the report.