Usare il servizio per la creazione di report ibridi in Identity Manager
Questo articolo illustra come combinare i dati del cloud e locali in report ibridi in Azure e come gestire e visualizzare questi report.
Report ibridi
I primi tre report Microsoft Identity Manager disponibili nell'ID Microsoft Entra sono i seguenti:
Attività di reimpostazione password: visualizza ogni istanza in cui un utente ha eseguito una reimpostazione della password tramite la reimpostazione della password self-service e fornisce i controlli o i metodi usati per l'autenticazione.
Registrazione reimpostazione password: visualizza ogni registrazione dell'utente per la reimpostazione della password self-service e i metodi usati per l'autenticazione. Esempi di metodi possono essere un numero di telefono cellulare o domande e risposte.
Nota
Per i report Registrazione reimpostazione password non viene fatta alcuna distinzione tra controllo SMS e MFA. Entrambi sono considerati metodi con telefono cellulare.
Attività dei gruppi self-service: visualizza ogni tentativo eseguito da un utente per aggiungersi o eliminarsi da un gruppo e la relativa creazione del gruppo.
Nota
- I report attualmente presentano i dati per al massimo un mese di attività.
- È necessario disinstallare l'agente per la creazione di report ibridi precedente.
- Per disinstallare i report ibridi, disinstallare l'agente MIMreportingAgent.msi.
Prerequisiti
Il servizio Identity Manager 2016 o Identity Manager SP1, build consigliata 4.4.1749.0.
Un tenant Microsoft Entra ID P1 o P2 con un amministratore con licenza nella directory.
Connettività Internet in uscita dal server Identity Manager in Azure.
Requisiti
I requisiti per l'uso del servizio per la creazione di report ibridi di Identity Manager sono elencati nella tabella seguente:
| Requisito | Descrizione |
|---|---|
| MICROSOFT ENTRA ID P1 o P2 | La creazione di report ibridi è una funzionalità con ID Microsoft Entra P1 o P2 e richiede Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Introduzione all'ID Microsoft Entra P1 o P2. Ottenere una versione di valutazione gratuita di 30 giorni di Microsoft Entra ID P1 o P2. |
| È necessario essere un amministratore globale dell'ID Microsoft Entra | Per impostazione predefinita, solo gli amministratori globali possono installare e configurare gli agenti in grado di avviare il servizio, accedere al portale ed eseguire qualsiasi operazione all'interno di Azure. Importante: l'account usato quando si installano gli agenti deve essere un account aziendale o dell'istituto di istruzione. Non può essere un account Microsoft. Per altre informazioni, vedere Iscriversi ad Azure come organizzazione. |
| L'agente ibrido di Identity Manager è installato in ogni server del servizio Identity Manager di destinazione | Per ricevere i dati e offrire le funzionalità di monitoraggio e analisi, il servizio per la creazione di report ibridi richiede che gli agenti siano installati e configurati nei server di destinazione. |
| Connettività in uscita agli endpoint di servizio di Azure | Durante l'installazione e il runtime l'agente richiede la connettività agli endpoint del servizio Azure. Se la connettività in uscita è bloccata da firewall, assicurarsi che gli endpoint seguenti vengano aggiunti all'elenco degli elementi consentiti:
|
| Connettività in uscita in base agli indirizzi IP | Per l'applicazione di filtri in base agli indirizzi IP nei firewall, vedere Azure IP Ranges (Intervalli di indirizzi IP Azure). |
| L'ispezione SSL per il traffico in uscita è filtrata o disabilitata | La procedura di registrazione dell'agente o le operazioni di caricamento dei dati potrebbero non riuscire se è presente l'ispezione SSL o la chiusura per il traffico in uscita a livello di rete. |
| Porte del firewall nel server che esegue l'agente | Per comunicare con gli endpoint di servizio di Azure, l'agente richiede che le porte del firewall seguenti siano aperte:
|
| Consentire determinati siti Web se la protezione avanzata di Internet Explorer è abilitata | Se la protezione avanzata di Internet Explorer è abilitata, i siti Web seguenti devono essere consentiti nel server in cui è installato l'agente:
|
Installare Identity Manager Reporting Agent nell'ID Microsoft Entra
Dopo aver installato l'agente per la creazione di report, i dati relativi all'attività di Identity Manager vengono esportati da Identity Manager nel registro eventi di Windows. L'agente per la creazione di report di Identity Manager elabora gli eventi e quindi li carica in Azure. In Azure, gli eventi vengono analizzati, decrittografati e filtrati per i report necessari.
Installare Identity Manager 2016.
Scaricare l'agente per la creazione di report di Identity Manager e quindi eseguire le operazioni seguenti:
a. Accedere al portale di gestione Microsoft Entra e quindi selezionare Active Directory.
b. Fare doppio clic sulla directory per cui si è un amministratore globale e avere una sottoscrizione Microsoft Entra ID P1 o P2.
c. Selezionare Configurazione e quindi scaricare l'agente per la creazione di report.
Installare l'agente per la creazione di report nel modo seguente:
a. Scaricare il file MIMHReportingAgentSetup.exe per il server del servizio Identity Manager.
b. Eseguire
MIMHReportingAgentSetup.exe.c. Eseguire il programma di installazione dell'agente.
d. Assicurarsi che il servizio dell'agente per la creazione report di Identity Manager sia in esecuzione.
e. Riavviare il servizio Identity Manager.
Verificare che l'agente per la creazione di report di Identity Manager sia funzionante in Azure.
È possibile creare i dati del report tramite il portale di reimpostazione della password self-service di Identity Manager per reimpostare la password di un utente. Assicurarsi che la reimpostazione della password sia stata completata correttamente e quindi verificare che i dati vengano visualizzati nel portale di gestione Microsoft Entra.
Visualizzare i report ibridi nel portale di Azure
Accedere al portale di Azure con l'account di amministratore globale per il tenant.
Selezionare Microsoft Entra ID.
Selezionare la directory tenant nell'elenco delle directory disponibili per la sottoscrizione.
Selezionare Log di controllo.
Nell'elenco a discesa Categoria assicurarsi che sia selezionata l'opzione Servizio MIM.
Importante
È possibile che sia necessario attendere prima che i dati di controllo di Identity Manager vengano visualizzati nel portale di Azure.
Interrompere la creazione di report ibridi
Se si vuole interrompere il caricamento dei dati di controllo dei report da Identity Manager a MICROSOFT ENTRA ID, disinstallare Hybrid Reporting Agent. Usare lo strumento Installazione applicazioni di Windows per disinstallare il servizio per la creazione report ibridi di Identity Manager.
Eventi di Windows usati per la creazione di report ibridi
Gli eventi generati da Identity Manager vengono archiviati nel registro eventi di Windows. È possibile visualizzare gli eventi nel Visualizzatore eventi selezionando Registri applicazioni e servizi>Identity Manager Request Log (Log richieste Identity Manager). Ogni richiesta di Identity Manager viene esportata come evento nel registro eventi di Windows nella struttura JSON. È possibile esportare il risultato nel sistema di informazioni di sicurezza e gestione degli eventi in uso.
| Tipo di evento | ID | Dettagli evento |
|---|---|---|
| Informazioni | 4121 | Dati dell'evento di Identity Manager che include tutti i dati della richiesta. |
| Informazioni | 4137 | Estensione dell'evento 4121 di Identity Manager, nel caso vi siano troppi dati per un singolo evento. L'intestazione in questo evento viene visualizzata nel formato seguente: "Request: <GUID> , message <xxx> out of <xxx>. |