Usare il servizio per la creazione di report ibridi in Identity Manager

Questo articolo illustra come combinare i dati del cloud e locali in report ibridi in Azure e come gestire e visualizzare questi report.

Report ibridi

I primi tre report di Microsoft Identity Manager disponibili in Azure Active Directory (Azure AD) sono i seguenti:

  • Attività di reimpostazione password: visualizza ogni istanza in cui un utente ha eseguito una reimpostazione della password tramite la reimpostazione della password self-service e fornisce i controlli o i metodi usati per l'autenticazione.

  • Registrazione reimpostazione password: visualizza ogni registrazione dell'utente per la reimpostazione della password self-service e i metodi usati per l'autenticazione. Esempi di metodi possono essere un numero di telefono cellulare o domande e risposte.

    Nota

    Per i report Registrazione reimpostazione password non viene fatta alcuna distinzione tra controllo SMS e MFA. Entrambi sono considerati metodi con telefono cellulare.

  • Attività dei gruppi self-service: visualizza ogni tentativo eseguito da un utente per aggiungersi o eliminarsi da un gruppo e la relativa creazione del gruppo.

    Azure hybrid reporting - password reset activity image

Nota

  • I report attualmente presentano i dati per al massimo un mese di attività.
  • È necessario disinstallare l'agente per la creazione di report ibridi precedente.
  • Per disinstallare i report ibridi, disinstallare l'agente MIMreportingAgent.msi.

Prerequisiti

  • Il servizio Identity Manager 2016 o Identity Manager SP1, build consigliata 4.4.1749.0.

  • Un tenant di Azure AD Premium con un amministratore dotato di licenza nella directory.

  • Connettività Internet in uscita dal server Identity Manager in Azure.

Requisiti

I requisiti per l'uso del servizio per la creazione di report ibridi di Identity Manager sono elencati nella tabella seguente:

Requisito Descrizione
Azure AD Premium Il servizio per la creazione report ibridi è una funzionalità di Azure AD Premium e richiede Azure AD Premium.
Per altre informazioni, vedere Introduzione alle Azure AD Premium.
Ottenere una versione di valutazione gratuita di 30 giorni di Azure AD Premium.
È necessario essere un amministratore globale di Azure AD Per impostazione predefinita, solo gli amministratori globali possono installare e configurare gli agenti in grado di avviare il servizio, accedere al portale ed eseguire qualsiasi operazione all'interno di Azure.
Importante: l'account usato quando si installano gli agenti deve essere un account aziendale o dell'istituto di istruzione. Non può essere un account Microsoft. Per altre informazioni, vedere Iscriversi ad Azure come organizzazione.
L'agente ibrido di Identity Manager è installato in ogni server del servizio Identity Manager di destinazione Per ricevere i dati e offrire le funzionalità di monitoraggio e analisi, il servizio per la creazione di report ibridi richiede che gli agenti siano installati e configurati nei server di destinazione.
Connettività in uscita agli endpoint di servizio di Azure Durante l'installazione e il runtime l'agente richiede la connettività agli endpoint del servizio Azure. Se la connettività in uscita è bloccata da firewall, assicurarsi che gli endpoint seguenti vengano aggiunti all'elenco degli elementi consentiti:
Connettività in uscita in base agli indirizzi IP Per l'applicazione di filtri in base agli indirizzi IP nei firewall, vedere Azure IP Ranges (Intervalli di indirizzi IP Azure).
L'ispezione SSL per il traffico in uscita è filtrata o disabilitata La procedura di registrazione dell'agente o le operazioni di caricamento dei dati potrebbero non riuscire se è presente l'ispezione SSL o la chiusura per il traffico in uscita a livello di rete.
Porte del firewall nel server che esegue l'agente Per comunicare con gli endpoint di servizio di Azure, l'agente richiede che le porte del firewall seguenti siano aperte:
  • Porta TCP 443
  • Porta TCP 5671
Consentire determinati siti Web se la protezione avanzata di Internet Explorer è abilitata Se la protezione avanzata di Internet Explorer è abilitata, i siti Web seguenti devono essere consentiti nel server in cui è installato l'agente:

Installare l'agente per la creazione di report di Identity Manager

Dopo aver installato l'agente per la creazione di report, i dati relativi all'attività di Identity Manager vengono esportati da Identity Manager nel registro eventi di Windows. L'agente per la creazione di report di Identity Manager elabora gli eventi e quindi li carica in Azure. In Azure, gli eventi vengono analizzati, decrittografati e filtrati per i report necessari.

  1. Installare Identity Manager 2016.

  2. Scaricare l'agente per la creazione di report di Identity Manager e quindi eseguire le operazioni seguenti:

    a. Accedere al portale di gestione di Azure AD e quindi selezionare Active Directory.

    b. Fare doppio clic sulla directory per cui si è un amministratore globale e si dispone di una sottoscrizione di Azure AD Premium.

    c. Selezionare Configurazione e quindi scaricare l'agente per la creazione di report.

  3. Installare l'agente per la creazione di report nel modo seguente:

    a. Scaricare il file MIMHReportingAgentSetup.exe per il server del servizio Identity Manager.

    b. Eseguire MIMHReportingAgentSetup.exe.

    c. Eseguire il programma di installazione dell'agente.

    d. Assicurarsi che il servizio dell'agente per la creazione report di Identity Manager sia in esecuzione.

    e. Riavviare il servizio Identity Manager.

  4. Verificare che l'agente per la creazione di report di Identity Manager sia funzionante in Azure.

    È possibile creare i dati del report tramite il portale di reimpostazione della password self-service di Identity Manager per reimpostare la password di un utente. Assicurarsi che la reimpostazione della password sia stata completata correttamente e quindi verificare che i dati siano visualizzati nel portale di gestione di Azure AD.

Visualizzare i report ibridi nel portale di Azure

  1. Accedere al portale di Azure con l'account di amministratore globale per il tenant.

  2. Selezionare Azure Active Directory.

  3. Selezionare la directory tenant nell'elenco delle directory disponibili per la sottoscrizione.

  4. Selezionare Log di controllo.

  5. Nell'elenco a discesa Categoria assicurarsi che sia selezionata l'opzione Servizio MIM.

Importante

È possibile che sia necessario attendere prima che i dati di controllo di Identity Manager vengano visualizzati nel portale di Azure.

Interrompere la creazione di report ibridi

Se si vuole interrompere il caricamento dei dati di controllo dei report da Identity Manager in Azure AD, disinstallare l'agente per la creazione di report ibridi. Usare lo strumento Installazione applicazioni di Windows per disinstallare il servizio per la creazione report ibridi di Identity Manager.

Eventi di Windows usati per la creazione di report ibridi

Gli eventi generati da Identity Manager vengono archiviati nel registro eventi di Windows. È possibile visualizzare gli eventi nel Visualizzatore eventi selezionando Registri applicazioni e servizi>Identity Manager Request Log (Log richieste Identity Manager). Ogni richiesta di Identity Manager viene esportata come evento nel registro eventi di Windows nella struttura JSON. È possibile esportare il risultato nel sistema di informazioni di sicurezza e gestione degli eventi in uso.

Tipo di evento ID Dettagli evento
Informazioni 4121 Dati dell'evento di Identity Manager che include tutti i dati della richiesta.
Informazioni 4137 Estensione dell'evento 4121 di Identity Manager, nel caso vi siano troppi dati per un singolo evento. L'intestazione in questo evento viene visualizzata nel formato seguente: "Request: <GUID> , message <xxx> out of <xxx>.