Monitorare AD FS con Azure AD Connect HealthMonitor AD FS using Azure AD Connect Health

La documentazione seguente è specifica per il monitoraggio dell'infrastruttura AD FS con Azure AD Connect Health.The following documentation is specific to monitoring your AD FS infrastructure with Azure AD Connect Health. Per informazioni sul monitoraggio di Azure Active Directory Connect (Sincronizzazione) con Azure AD Connect Health, vedere Uso di Azure AD Connect Health per la sincronizzazione. Per informazioni sul monitoraggio di Servizi di dominio Active Directory con Azure AD Connect Health, vedere Uso di Azure AD Connect Health con Servizi di dominio Active Directory.For information on monitoring Azure AD Connect (Sync) with Azure AD Connect Health, see Using Azure AD Connect Health for Sync. Additionally, for information on monitoring Active Directory Domain Services with Azure AD Connect Health, see Using Azure AD Connect Health with AD DS.

Avvisi per AD FSAlerts for AD FS

La sezione degli avvisi di Azure AD Connect Health contiene l'elenco degli avvisi attivi.The Azure AD Connect Health Alerts section provides you the list of active alerts. Ogni avviso include informazioni pertinenti, la procedura di risoluzione e collegamenti alla documentazione correlata.Each alert includes relevant information, resolution steps, and links to related documentation.

È possibile fare doppio clic su un avviso attivo o risolto per aprire un nuovo pannello con informazioni aggiuntive, procedure utili per risolvere l'avvisto e collegamenti alla documentazione rilevante.You can double-click an active or resolved alert, to open a new blade with additional information, steps you can take to resolve the alert, and links to relevant documentation. È anche possibile visualizzare dati storici sugli avvisi risolti in passato.You can also view historical data on alerts that were resolved in the past.

portale di Azure AD Connect Health

Analisi di utilizzo per AD FSUsage Analytics for AD FS

Analisi di utilizzo di Azure AD Connect Health analizza il traffico di autenticazione dei server federativi.Azure AD Connect Health Usage Analytics analyzes the authentication traffic of your federation servers. È possibile fare doppio clic sulla casella dell'analisi di utilizzo per aprire il pannello corrispondente, che mostra diverse metriche e diversi raggruppamenti.You can double-click the usage analytics box, to open the usage analytics blade, which shows you several metrics and groupings.

Nota

Per poter usare l'analisi di utilizzo con AD FS, è necessario verificare che il controllo di AD FS sia abilitato.To use Usage Analytics with AD FS, you must ensure that AD FS auditing is enabled. Per altre informazioni, vedere Abilitare il controllo per AD FS.For more information, see Enable Auditing for AD FS.

portale di Azure AD Connect Health

Per selezionare altre metriche, specificare un intervallo di tempo o modificare il raggruppamento, è sufficiente fare clic con il pulsante destro del mouse sul pannello dell'analisi di utilizzo e scegliere Modifica grafico.To select additional metrics, specify a time range, or to change the grouping, right-click on the usage analytics chart and select Edit Chart. È quindi possibile specificare l'intervallo di tempo, selezionare metriche diverse e cambiare il raggruppamento.Then you can specify the time range, select a different metric, and change the grouping. È possibile visualizzare la distribuzione del traffico di autenticazione in "metriche" diverse e raggruppare ogni metrica con i parametri di raggruppamento pertinenti descritti nella sezione seguente:You can view the distribution of the authentication traffic based on different "metrics" and group each metric using relevant "group by" parameters described in the following section:

Metrica: richieste totali, numero totale di richieste elaborate dal servizio AD FS.Metric : Total Requests - Total number of requests processed by AD FS servers.

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
TuttiAll Mostra il conteggio del numero totale di richieste elaborate da tutti i server AD FS.Shows the count of total number of requests processed by all AD FS servers.
ApplicazioneApplication Raggruppa le richieste totali in base alla relying party di destinazione.Groups the total requests based on the targeted relying party. Questo raggruppamento è utile per conoscere la percentuale del traffico totale ricevuta da ogni applicazione.This grouping is useful to understand which application is receiving how much percentage of the total traffic.
ServerServer Raggruppa le richieste totali in base al server che ha elaborato la richiesta.Groups the total requests based on the server that processed the request. Questo raggruppamento è utile per conoscere la distribuzione del carico del traffico totale.This grouping is useful to understand the load distribution of the total traffic.
Aggiunta all'area di lavoroWorkplace Join Raggruppa le richieste totali in base al fatto che provengano da dispositivi aggiunti all'area di lavoro (noti).Groups the total requests based on whether they are coming from devices that are workplace joined (known). Questo raggruppamento è utile per conoscere se le risorse sono accessibili con dispositivi sconosciuti all'infrastruttura di gestione delle identità.This grouping is useful to understand if your resources are accessed using devices that are unknown to the identity infrastructure.
Metodo di autenticazioneAuthentication Method Raggruppa le richieste totali in base al metodo di autenticazione usato per l'autenticazione.Groups the total requests based on the authentication method used for authentication. Questo raggruppamento è utile per conoscere il metodo di autenticazione comune usato per l'autenticazione.This grouping is useful to understand the common authentication method that gets used for authentication. Di seguito sono indicati i metodi di autenticazione possibili Following are the possible authentication methods
  1. Autenticazione integrata di Windows (Windows)Windows Integrated Authentication (Windows)
  2. Autenticazione basata su moduli (Forms)Forms Based Authentication (Forms)
  3. SSO (Single Sign On)SSO (Single Sign On)
  4. Autenticazione certificato X509 (certificato)X509 Certificate Authentication (Certificate)

  5. Se i server federativi ricevono la richiesta con un cookie SSO, tale richiesta viene considerata SSO (Single Sign-On).If the federation servers receive the request with an SSO Cookie, that request is counted as SSO (Single Sign On). In questi casi, se il cookie è valido, all'utente non viene chiesto di fornire le credenziali e ottiene l'accesso trasparente all'applicazione.In such cases, if the cookie is valid, the user is not asked to provide credentials and gets seamless access to the application. Questo comportamento è normale se sono presenti più relying party protette dai server federativi.This behavior is common if you have multiple relying parties protected by the federation servers.
Percorso di reteNetwork Location Raggruppa le richieste totali in base al percorso di rete dell'utente.Groups the total requests based on the network location of the user. Può essere Intranet o Extranet.It can be either intranet or extranet. Questo raggruppamento è utile per conoscere la percentuale del traffico proveniente dalla Intranet e dalla Extranet.This grouping is useful to know what percentage of the traffic is coming from the intranet versus extranet.

Metrica: totale richieste non riuscite, numero totale di richieste non riuscite elaborate dal servizio federativo.Metric: Total Failed Request - The total number failed requests processed by the federation service. (Questa metrica è disponibile solo in AD FS per Windows Server 2012 R2)(This metric is only available on AD FS for Windows Server 2012 R2)

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
Tipo di erroreError Type Mostra il numero di errori in base ai tipi di errore predefiniti.Shows the number of errors based on predefined error types. Questo raggruppamento è utile per conoscere i tipi di errori comuni.This grouping is useful to understand the common types of errors.
  • Nome utente o password non corretta: errori causati da un nome utente o una password non corretta.Incorrect Username or Password: Errors due to incorrect username or password.
  • "Blocco Extranet": errori causati dalle richieste ricevute da un utente per il quale è stato bloccato l'accesso alla Extranet."Extranet Lockout": Failures due to the requests received from a user that was locked out from extranet
  • "Password scaduta": errori causati da utenti che effettuano l'accesso con una password scaduta."Expired Password": Failures due to users logging in with an expired password.
  • "Account disabilitato": errori causati da utenti che effettuano l'accesso con un account disabilitato."Disabled Account": Failures due to users logging with a disabled account.
  • "Autenticazione dispositivo": errori causati da utenti che non riescono ad autenticarsi con Autenticazione dispositivo."Device Authentication": Failures due to users failing to authenticate using Device Authentication.
  • "Autenticazione certificato utente": errori causati da utenti che non riescono ad autenticarsi a causa di un certificato non valido."User Certificate Authentication": Failures due to users failing to authenticate because of an invalid certificate.
  • "MFA": errori causati da utenti che non riescono ad autenticarsi con Multi-Factor Authentication."MFA": Failures due to user failing to authenticate using Multi-Factor Authentication.
  • "Altre credenziali" e "Autorizzazione rilascio": errori causati da errori di autorizzazione."Other Credential": "Issuance Authorization": Failures due to authorization failures.
  • "Delega rilascio": errori causati da errori di delega rilascio."Issuance Delegation": Failures due to issuance delegation errors.
  • "Accettazione token": errori causati dal rifiuto da parte di AD FS del token di un provider di identità di terze parti."Token Acceptance": Failures due to ADFS rejecting the token from a third-party Identity Provider.
  • "Protocollo": errore causato da errori del protocollo."Protocol": Failure due to protocol errors.
  • "Sconosciuto": tutti gli errori."Unknown": Catch all. Eventuali altri errori che non rientrano nelle categorie definite.Any other failures that do not fit into the defined categories.
ServerServer Raggruppa gli errori in base al server.Groups the errors based on the server. Questo raggruppamento è utile per conoscere la distribuzione degli errori nei server.This grouping is useful to understand the error distribution across servers. Una distribuzione non uniforme potrebbe indicare che un server è in uno stato difettoso.Uneven distribution could be an indicator of a server in a faulty state.
Percorso di reteNetwork Location Raggruppa gli errori in base al percorso di rete delle richieste (Intranet ed Extranet).Groups the errors based on the network location of the requests (intranet vs extranet). Questo raggruppamento è utile per conoscere il tipo di richieste che hanno esito negativo.This grouping is useful to understand the type of requests that are failing.
ApplicazioneApplication Raggruppa gli errori in base all'applicazione di destinazione (relying party).Groups the failures based on the targeted application (relying party). Questo raggruppamento è utile per conoscere l'applicazione di destinazione che sta visualizzando il maggior numero di errori.This grouping is useful to understand which targeted application is seeing most number of errors.

Metrica: numero di utenti, media del numero di utenti univoci che eseguono attivamente l'autenticazione con ADFSMetric : User Count - Average number of unique users actively authenticating using AD FS

Raggruppa perGroup By Cosa significa il raggruppamento e perché è utile?What the grouping means and why it's useful?
TuttiAll Questa metrica fornisce un conteggio del numero medio di utenti che usano il servizio federativo nel periodo di tempo selezionato.This metric provides a count of average number of users using the federation service in the selected time slice. Gli utenti non sono raggruppati.The users are not grouped.
La media dipende dal periodo di tempo selezionato.The average depends on the time slice selected.
ApplicazioneApplication Raggruppa il numero medio di utenti in base all'applicazione di destinazione (relying party).Groups the average number of users based on the targeted application (relying party). Questo raggruppamento è utile per conoscere quanti utenti stanno usando una determinata applicazione.This grouping is useful to understand how many users are using which application.

Monitoraggio delle prestazioni per AD FSPerformance Monitoring for AD FS

Il monitoraggio delle prestazioni di Azure AD Connect Health offre informazioni di monitoraggio sulle metriche.Azure AD Connect Health Performance Monitoring provides monitoring information on metrics. Se si seleziona la casella Monitoraggio, viene visualizzato un nuovo pannello che include informazioni dettagliate sulle metriche.Selecting the Monitoring box, opens a new blade with detailed information on the metrics.

portale di Azure AD Connect Health

Selezionando l'opzione Filtro nella parte superiore del pannello, è possibile filtrare in base al server per visualizzare le metriche di un singolo server.By selecting the Filter option at the top of the blade, you can filter by server to see an individual server’s metrics. Per modificare le metriche, fare clic con il pulsante destro del mouse sul grafico di monitoraggio nel pannello Monitoraggio e scegliere Modifica grafico (oppure selezionare il pulsante Modifica grafico).To change metric, right-click on the monitoring chart under the monitoring blade and select Edit Chart (or select the Edit Chart button). Dal nuovo pannello visualizzato è possibile selezionare altre metriche nell'elenco a discesa e specificare un intervallo di tempo per cui visualizzare i dati delle prestazioni.From the new blade that opens up, you can select additional metrics from the drop-down and specify a time range for viewing the performance data.

Primi 50 utenti con accessi tramite nome utente/password non riuscitiTop 50 Users with failed Username/Password logins

Uno dei motivi più comuni per cui una richiesta di autenticazione può non riuscire in un server AD FS è l'uso di credenziali che non sono valide, vale a dire che il nome utente o la password non è valida.One of the common reasons for a failed authentication request on an AD FS server is a request with invalid credentials, that is, a wrong username or password. Gli utenti rilevano questo problema in genere a causa di password complesse, password dimenticate o errori di digitazione.Usually happens to users due to complex passwords, forgotten passwords, or typos.

Esistono tuttavia altri motivi che possono provocare un numero inaspettatamente elevato di richieste gestite dai server AD FS, ad esempio un'applicazione che memorizza nella cache le credenziali utente in corrispondenza con la scadenza delle credenziali oppure un utente malintenzionato che prova ad accedere a un account con una serie di password note.But there are other reasons that can result in an unexpected number of requests being handled by your AD FS servers, such as: An application that caches user credentials and the credentials expire or a malicious user attempting to sign into an account with a series of well-known passwords. Questi due esempi sono motivi validi di un'eventuale picco nelle richieste.These two examples are valid reasons that could lead to a surge in requests.

Azure AD Connect Health per AD FS fornisce un report sui primi 50 utenti con tentativi di accesso non riusciti a causa di un nome utente o una password non valida.Azure AD Connect Health for ADFS provides a report about top 50 Users with failed login attempts due to invalid username or password. Questo report si ottiene elaborando gli eventi di controllo generati da tutti i server AD FS nelle farm.This report is achieved by processing the audit events generated by all the AD FS servers in the farms.

portale di Azure AD Connect Health

All'interno del report è possibile accedere facilmente alle informazioni seguenti:Within this report you have easy access to the following pieces of information:

  • Numero totale di richieste non riuscite con nome utente o password non valida negli ultimi 30 giorni.Total # of failed requests with wrong username/password in the last 30 days
  • Numero medio di utenti che non sono riusciti ad accedere con un nome utente o una password non valida ogni giorno.Average # of users that failed with a bad username/password login per day.

Facendo clic su questa parte si passa al pannello principale del report che fornisce dettagli aggiuntivi.Clicking this part takes you to the main report blade that provides additional details. Questo pannello include un grafico con le informazioni relative alla tendenza, utile per stabilire una baseline sulle richieste con nome utente non valido o password errata.This blade includes a graph with trending information to help establish a baseline about requests with wrong username or password. Fornisce anche l'elenco dei primi 50 utenti con il numero di tentativi non riusciti nella settimana precedente.Additionally, it provides the list of top 50 users with the number of failed attempts during the past week. Rilevare i primi 50 utenti della settimana precedente consentirà di identificare i picchi di password errate.Notice top 50 users from the past week could help identify bad password spikes.

Il grafico fornisce le informazioni seguenti:The graph provides the following information:

  • Numero totale di accessi non riusciti a causa di un nome utente o una password non valida ogni giorno.The total # of failed logins due to a bad username/password on a per-day basis.
  • Numero totale di utenti univoci con accessi non riusciti ogni giorno.The total # of unique users that failed logins on a per-day basis.
  • Indirizzo IP client dell'ultima richiestaClient IP address of for last request

portale di Azure AD Connect Health

Il report fornisce le informazioni seguenti:The report provides the following information:

Elemento del reportReport Item DESCRIZIONEDescription
ID utenteUser ID Mostra l'ID utente che è stato usato.Shows the user ID that was used. Questo valore corrisponde a quanto digitato dall'utente, che a volte corrisponde all'uso di un ID utente non valido.This value is what the user typed, which in some cases is the wrong user ID being used.
Tentativi non riuscitiFailed Attempts Mostra il numero totale di tentativi non riusciti per l'ID utente specifico.Shows the total # of failed attempts for that specific user ID. La tabella è riportata in ordine decrescente a partire dal numero maggiore di tentativi non riusciti.The table is sorted with the most number of failed attempts in descending order.
Ultimo erroreLast Failure Mostra il timestamp del momento in cui si è verificato l'ultimo errore.Shows the time stamp when the last failure occurred.
Ultimo errore IPLast Failure IP Mostra l'indirizzo IP client dell'ultima richiesta non valida.Shows the Client IP address from the latest bad request. Se questo valore contiene più IP, potrebbe includere l'indirizzo IP del client di inoltro insieme all'indirizzo IP dell'ultimo tentativo di richiesta dell'utente.If you see more than one IP addresses in this value, it may include forward client IP together with user's last attempt request IP.

Nota

Il report viene aggiornato automaticamente ogni 12 ore con le nuove informazioni raccolte.This report is automatically updated after every 12 hours with the new information collected within that time. Di conseguenza, i tentativi di accesso nelle ultime 12 ore potrebbero non essere inclusi nel report.As a result, login attempts within the last 12 hours may not be included in the report.

Report sugli indirizzi IP rischiosi (anteprima pubblica)Risky IP Report (Public Preview)

I clienti con AD FS possono esporre endpoint di autenticazione delle password in Internet per offrire servizi di autenticazione per l'accesso degli utenti finali ad applicazioni SaaS come Office 365.AD FS customers may expose password authentication endpoints to the internet to provide authentication services for end users to access SaaS applications such as Office 365. In questo caso, un attore malintenzionato potrebbe eseguire tentativi di accesso nel sistema AD FS per indovinare la password di un utente finale e ottenere l'accesso alle risorse dell'applicazione.In this case, it is possible for a bad actor to attempt logins against your AD FS system to guess an end user’s password and get access to application resources. A partire da AD FS in Windows Server 2012 R2, AD FS offre la funzionalità di blocco account Extranet per impedire questi tipi di attacchi.AD FS provides the extranet account lockout functionality to prevent these types of attacks since AD FS in Windows Server 2012 R2. Se si usa una versione precedente, è consigliabile eseguire l'aggiornamento del sistema AD FS a Windows Server 2016.If you are on a lower version, we strongly recommend that you upgrade your AD FS system to Windows Server 2016.
È anche possibile che un singolo indirizzo IP esegua più tentativi di accesso per più utenti.Additionally, it is possible for a single IP address to attempt multiple logins against multiple users. In questi casi, il numero di tentativi per utente potrebbe essere al di sotto della soglia della protezione del blocco account in AD FS.In these cases, the number of attempts per user may be under the threshold for account lockout protection in AD FS. Azure AD Connect Health offre ora un report sugli indirizzi IP rischiosi che rileva questa condizione e invia una notifica agli amministratori quando si verifica.Azure AD Connect Health now provides the “Risky IP report” that detects this condition and notifies administrators when this occurs. Di seguito sono riportati i vantaggi principali di questo report:The following are the key benefits for this report:

  • Rilevamento degli indirizzi IP che superano una soglia di accessi basati su password non riuscitiDetection of IP addresses that exceed a threshold of failed password-based logins
  • Supporto per accessi non riusciti a causa di password errata o dello stato di blocco ExtranetSupports failed logins due to bad password or due to extranet lockout state
  • Notifica tramite posta elettronica per avvisare gli amministratori non appena questo si verifica, con impostazioni di posta elettronica personalizzabiliEmail notification to alert administrators as soon as this occurs with customizable email settings
  • Impostazioni di soglia personalizzabili corrispondenti ai criteri di sicurezza di un'organizzazioneCustomizable threshold settings that match with the security policy of an organization
  • Report scaricabili per l'analisi offline e l'integrazione con altri sistemi tramite automazioneDownloadable reports for offline analysis and integration with other systems via automation

Nota

Per usare questo report, è necessario verificare che il servizio di controllo AD FS sia abilitato.To use this report, you must ensure that AD FS auditing is enabled. Per altre informazioni, vedere Abilitare il controllo per AD FS.For more information, see Enable Auditing for AD FS.
Per accedere all'anteprima, è necessaria un'autorizzazione di amministratore globale o di Ruolo con autorizzazioni di lettura per la sicurezza.To access preview, Global Admin or Security Reader permission is required.

Contenuto del reportWhat is in the report

Ogni elemento nel report sugli indirizzi IP rischiosi mostra informazioni aggregate sulle attività di accesso ad AD FS non riuscite che superano la soglia designata.Each item in the Risky IP report shows aggregated information about failed AD FS sign-in activities which exceed designated threshold. Vengono riportate le informazioni seguenti: Portale di Azure AD Connect HealthIt provides the following information: Azure AD Connect Health Portal

Elemento del reportReport Item DESCRIZIONEDescription
TimestampTime Stamp Mostra il timestamp corrispondente all'inizio dell'intervallo di tempo di rilevamento, in base all'ora locale del portale di Azure.Shows the time stamp based on Azure portal local time when the detection time window starts.
Tutti gli eventi giornalieri vengono generati a mezzanotte nel fuso orario UTC.All daily events are generated at mid-night UTC time.
Il timestamp degli eventi orari viene arrotondato all'inizio dell'ora.Hourly events have the timestamp rounded to the beginning of the hour. L'ora di inizio della prima attività è riportata in "firstAuditTimestamp" nel file esportato.You can find first activity start time from “firstAuditTimestamp” in the exported file.
Tipo di triggerTrigger Type Mostra il tipo di intervallo di tempo di rilevamento.Shows the type of detection time window. I tipi di trigger di aggregazione sono su base oraria o giornaliera.The aggregation trigger types are per hour or per day. Questo è utile per il rilevamento rispetto a un attacco di forza bruta con frequenza elevata e rispetto a un attacco lento in cui il numero di tentativi è distribuito durante il giorno.This is helpful to detect versus a high frequency brute force attack versus a slow attack where the number of attempts is distributed throughout the day.
Indirizzo IPIP Address Il singolo indirizzo IP rischioso con attività di accesso con password errata o blocco Extranet.The single risky IP address that had either bad password or extranet lockout sign-in activities. Potrebbe essere un indirizzo IPv4 o IPv6.This could be a IPv4 or an IPv6 address.
Numero errori di password errataBad Password Error Count Il numero di errori di password errata provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento.The count of Bad Password error occurred from the IP address during the detection time window. Gli errori di password errata possono verificarsi più volte per determinati utenti.The Bad Password errors can happen multiple times to certain users. Si noti che non sono inclusi i tentativi non riusciti a causa di password scadute.Notice this does not include failed attempts due to expired passwords.
Numero errori di blocco ExtranetExtranet Lock Out Error Count Il numero di errori di blocco Extranet provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento.The count of Extranet Lockout error occurred from the IP address during the detection time window. Gli errori di blocco Extranet possono verificarsi più volte per determinati utenti.The Extranet Lockout errors can happen multiple times to certain users. Questo verrà rilevato solo se il blocco Extranet è configurato in AD FS (versione 2012R2 o successiva).This will only be seen if Extranet Lockout is configured in AD FS (versions 2012R2 or higher). Nota: se si consentono accessi Extranet con password, è consigliabile attivare questa funzionalità.Note We strongly recommend turning this feature on if you allow extranet logins using passwords.
Tentativi con utenti univociUnique Users Attempted Il numero di tentativi riguardanti utenti univoci provenienti dall'indirizzo IP durante l'intervallo di tempo di rilevamento.The count of unique user accounts attempted from the IP address during the detection time window. Questo offre un meccanismo per distinguere uno schema di attacco a utente singolo da uno schema di attacco multiutente.This provides a mechanism to differentiate a single user attack pattern versus multi-user attack pattern.

L'elemento del report seguente, ad esempio, indica che nell'intervallo orario dalle 18 alle 19 del 28 febbraio 2018 l'indirizzo IP 104.2XX.2XX.9 ha generato zero errori di password errata e 284 errori di blocco Extranet.For example, the below report item indicates from the 6pm to 7pm hour window on 02/28/2018, IP address 104.2XX.2XX.9 had no bad password errors and 284 extranet lockout errors. In base ai criteri sono stati coinvolti 14 utenti univoci.14 unique users were impacted within the criteria. L'evento dell'attività ha superato la soglia oraria designata del report.The activity event exceeded the designated report hourly threshold.

portale di Azure AD Connect Health

Nota

  • Nell'elenco del report verranno visualizzate solo le attività che superano la soglia designata.Only activities exceeding designated threshold will be showing in the report list.
  • Questo report può risalire indietro al massimo di 30 giorni.This report can be trace back at most 30 days.
  • Questo report di avviso non mostra gli indirizzi IP di Exchange o quelli privati,This alert report does not show Exchange IP addresses or private IP addresses. che sono però inclusi nell'elenco esportato.They are still included in the export list.

portale di Azure AD Connect Health

Indirizzi IP del servizio di bilanciamento del carico nell'elencoLoad Balancer IP addresses in the list

Attività di accesso aggregate non riuscite del servizio di bilanciamento del carico, con raggiungimento della soglia di avviso.Load balancer aggregate failed sign-in activities and hit the alert threshold. Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web.If you are seeing load balancer IP addresses, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server. Configurare il servizio di bilanciamento del carico correttamente in modo da passare l'indirizzo IP del client di inoltro.Please configure your load balancer correctly to pass forward client IP address.

Scaricare il report sugli indirizzi IP rischiosiDownload Risky IP report

Usando la funzionalità Scarica è possibile esportare l'intero elenco degli indirizzi IP rischiosi degli ultimi 30 giorni dal portale di Connect Health. Il risultato dell'esportazione includerà tutte le attività di accesso ad AD FS non riuscite in ogni intervallo di tempo di rilevamento, consentendo così di personalizzare i filtri dopo l'esportazione.Using the Download functionality, the whole risky IP address list in the past 30 days can be exported from the Connect Health Portal The export result will include all the failed AD FS sign-in activities in each detection time window, so you can customize the filtering after the export. Oltre alle aggregazioni evidenziate nel portale, il risultato dell'esportazione mostra anche altri dettagli sulle attività di accesso non riuscite in base all'indirizzo IP:Besides the highlighted aggregations in the portal, the export result also shows more details about failed sign-in activities per IP address:

Elemento del reportReport Item DESCRIZIONEDescription
firstAuditTimestampfirstAuditTimestamp Mostra il primo timestamp corrispondente all'inizio delle attività non riuscite durante l'intervallo di tempo di rilevamento.Shows the first timestamp when the failed activities started during the detection time window.
lastAuditTimestamplastAuditTimestamp Mostra l'ultimo timestamp corrispondente alla fine delle attività non riuscite durante l'intervallo di tempo di rilevamento.Shows the last timestamp when the failed activities ended during the detection time window.
attemptCountThresholdIsExceededattemptCountThresholdIsExceeded Flag che indica se le attività correnti stanno superando la soglia di avviso.The flag if the current activities are exceeding the alerting threshold.
isWhitelistedIpAddressisWhitelistedIpAddress Flag che indica se l'indirizzo IP è escluso da avvisi e report.The flag if the IP address is filtered from alerting and reporting. Gli indirizzi IP privati (10.x.x.x, 172.x.x.x & 192.168.x.x) e quelli di Exchange vengono filtrati e contrassegnati come True.Private IP addresses (10.x.x.x, 172.x.x.x & 192.168.x.x) and Exchange IP addresses are filtered and marked as True. Se vengono visualizzati intervalli di indirizzi IP privati, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web.If you are seeing private IP address ranges, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server.

Configurare le impostazioni di notificaConfigure Notification Settings

I contatti degli amministratori del report possono essere aggiornati tramite Impostazioni di notifica.Admin contacts of the report can be updated through the Notification Settings. Per impostazione predefinita, la notifica di avviso tramite posta elettronica relativa agli indirizzi IP rischiosi è disattivata.By default, the risky IP alert email notification is in off state. È possibile abilitare la notifica facendo clic sul pulsante sotto "Ricevi notifiche tramite posta elettronica per gli indirizzi IP che superano la soglia di attività non riuscite nel report". Come per le impostazioni delle notifiche di avviso generiche di Connect Health, da qui è possibile personalizzare l'elenco dei destinatari designati della notifica per il report sugli indirizzi IP rischiosi.You can enable the notification by toggle the button under “Get email notifications for IP addresses exceeding failed activity threshold report” Like generic alert notification settings in Connect Health, it allows you to customize designated notification recipient list about risky IP report from here. Si può anche inviare una notifica a tutti gli amministratori globali mentre si apporta la modifica.You can also notify all global admins while making the change.

Configurare le impostazioni di sogliaConfigure Threshold settings

La soglia di avviso può essere aggiornata tramite le impostazioni di soglia.Alerting threshold can be updated through Threshold Settings. Per iniziare, il sistema prevede un'impostazione predefinita della soglia.To start with, system has threshold set by default. Le impostazioni di soglia per il report sugli indirizzi IP rischiosi includono quattro categorie:There are four categories in the risk IP report threshold settings:

portale di Azure AD Connect Health

Elemento sogliaThreshold Item DESCRIZIONEDescription
Nome utente/password non validi e blocco Extranet - Giorno(Bad U/P + Extranet Lockout) / Day Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di password errata e il numero di errori di blocco Extranet superano tale valore in un giorno.Threshold setting to report the activity and trigger alert notification when the count of Bad Password plus the count of Extranet Lockout exceeds it per day.
Nome utente/password non validi e blocco Extranet - Ora(Bad U/P + Extranet Lockout) / Hour Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di password errata e il numero di errori di blocco Extranet superano tale valore in un'ora.Threshold setting to report the activity and trigger alert notification when the count of Bad Password plus the count of Extranet Lockout exceeds it per hour.
Blocco Extranet - GiornoExtranet Lockout / Day Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di blocco Extranet supera tale valore in un giorno.Threshold setting to report the activity and trigger alert notification when the count of Extranet Lockout exceeds it per day.
Blocco Extranet - OraExtranet Lockout / Hour Impostazione di soglia per segnalare l'attività e attivare la notifica di avviso quando il numero di errori di blocco Extranet supera tale valore in un'ora.Threshold setting to report the activity and trigger alert notification when the count of Extranet Lockout exceeds it per hour.

Nota

  • La modifica della soglia per il report verrà applicata dopo un'ora dall'impostazione.The change of report threshold will be applied after an hour of the setting change.
  • La modifica della soglia non influirà sugli elementi segnalati esistenti.Existing reported items will not be affected by the threshold change.
  • È consigliabile analizzare il numero di eventi rilevati nell'ambiente e modificare la soglia in modo appropriato.We recommend that you analyze the number of events seen within your environment and adjust the threshold appropriately.

Domande frequentiFAQ

  1. Perché nel report sono inclusi intervalli di indirizzi IP privati?Why am I seeing private IP address ranges in the report?
    Gli indirizzi IP privati (10.x.x.x, 172.x.x.x & 192.168.x.x) e quelli di Exchange vengono filtrati e contrassegnati come True nell'elenco di IP consentiti.Private IP addresses (10.x.x.x, 172.x.x.x & 192.168.x.x) and Exchange IP addresses are filtered and marked as True in the IP whitelist. Se vengono visualizzati intervalli di indirizzi IP privati, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web.If you are seeing private IP address ranges, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server.

  2. Perché nel report sono inclusi indirizzi IP del servizio di bilanciamento del carico?Why am I seeing load balancer IP addresses in the report?
    Se vengono visualizzati indirizzi IP del servizio di bilanciamento del carico, è molto probabile che il servizio di bilanciamento del carico esterno non invii l'indirizzo IP del client quando passa la richiesta al server proxy applicazione Web.If you are seeing load balancer IP addresses, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server. Configurare il servizio di bilanciamento del carico correttamente in modo da passare l'indirizzo IP del client di inoltro.Please configure your load balancer correctly to pass forward client IP address.

  3. Come si può bloccare l'indirizzo IP?What do I do to block the IP address?
    È consigliabile aggiungere l'indirizzo IP dannoso identificato al firewall o al blocco in Exchange.You should add identified malicious IP address to the firewall or block in Exchange.

  4. Perché non vengono visualizzati elementi nel report?Why am I not seeing any items in this report?

    • Le attività di accesso non riuscite non superano le impostazioni di soglia.Failed sign-in activities are not exceeding the threshold settings.
    • Verificare che nell'elenco di server AD FS non sia attivo alcun avviso "Health service is not up to date" (Servizio integrità non aggiornato).Ensure no “Health service is not up to date” alert active in your AD FS server list. Vedere altre informazioni su come risolvere i problemi relativi a questo avviso.Read more about how to troubleshoot this alert.
    • Il servizio di controllo non è abilitato nelle farm AD FS.Audits is not enabled in AD FS farms.
  5. Perché non viene visualizzato l'accesso al report?Why am I seeing no access to the report?
    È necessaria l'autorizzazione di amministratore globale o di Ruolo con autorizzazioni di lettura per la sicurezza.Global Admin or Security Reader permission is required. Contattare l'amministratore globale per ottenere l'accesso.Please contact your global admin to get access.