Azure AD Connect Health を使用した AD FS の 監視Monitor AD FS using Azure AD Connect Health

次のドキュメントは、Azure AD Connect Health を使用した AD FS インフラストラクチャの監視に固有のドキュメントです。The following documentation is specific to monitoring your AD FS infrastructure with Azure AD Connect Health. Azure AD Connect Health での Azure AD Connect (同期) の監視については、「 Azure AD Connect Health for Sync の使用」を参照してください。また、Azure AD Connect Health での Active Directory Domain Services の監視については、「AD DS での Azure AD Connect Health の使用」を参照してください。For information on monitoring Azure AD Connect (Sync) with Azure AD Connect Health, see Using Azure AD Connect Health for Sync. Additionally, for information on monitoring Active Directory Domain Services with Azure AD Connect Health, see Using Azure AD Connect Health with AD DS.

AD FS のアラートAlerts for AD FS

Azure AD Connect Health アラート セクションには、アクティブなアラートの一覧が表示されます。The Azure AD Connect Health Alerts section provides you the list of active alerts. 各アラートには、関連情報、解決の手順、関連ドキュメントのリンクが含まれます。Each alert includes relevant information, resolution steps, and links to related documentation.

アクティブまたは解決済みのアラートをダブルクリックすると、新しいブレードが開かれ、追加情報、アラートを解決するための手順、関連ドキュメントへのリンクなどが表示されます。You can double-click an active or resolved alert, to open a new blade with additional information, steps you can take to resolve the alert, and links to relevant documentation. 過去に解決されたアラートの履歴データも表示できます。You can also view historical data on alerts that were resolved in the past.

Azure AD Connect Health ポータル

AD FS の利用状況分析Usage Analytics for AD FS

Azure AD Connect Health 利用状況分析では、フェデレーション サーバーの認証トラフィックを分析できます。Azure AD Connect Health Usage Analytics analyzes the authentication traffic of your federation servers. [利用状況分析] ボックスをダブルクリックすると、[利用状況分析] ブレードが開き、いくつかのメトリックとグループ分けが表示されます。You can double-click the usage analytics box, to open the usage analytics blade, which shows you several metrics and groupings.

注意

AD FS で利用状況分析を使用するには、AD FS 監査が有効になっている必要があります。To use Usage Analytics with AD FS, you must ensure that AD FS auditing is enabled. 詳細については、「 AD FS の監査の有効化」を参照してください。For more information, see Enable Auditing for AD FS.

Azure AD Connect Health ポータル

追加のメトリックの選択、時間範囲の指定、グループ分けの変更を行うには、利用状況の分析グラフを右クリックし、[グラフの編集] を選択します。To select additional metrics, specify a time range, or to change the grouping, right-click on the usage analytics chart and select Edit Chart. これで、時間範囲の指定、別のメトリックの選択、グループ分けの変更を行うことができます。Then you can specify the time range, select a different metric, and change the grouping. さまざまな "メトリック" に基づいて認証トラフィックの分布を確認し、次のセクションに示す "グループ化" という関連パラメーターを使用して各メトリックをグループ化できます。You can view the distribution of the authentication traffic based on different "metrics" and group each metric using relevant "group by" parameters described in the following section:

メトリック: 合計要求数 - AD FS サーバーによって処理された要求の合計数。Metric : Total Requests - Total number of requests processed by AD FS servers.

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
すべてAll すべての AD FS サーバーによって処理された要求の合計数を示します。Shows the count of total number of requests processed by all AD FS servers.
アプリケーションApplication 対象となる証明書利用者に基づいて、要求の合計をグループ化します。Groups the total requests based on the targeted relying party. このグループ化は、どのアプリケーションがトラフィック全体のどの程度の割合を受信しているかを把握するのに役立ちます。This grouping is useful to understand which application is receiving how much percentage of the total traffic.
サーバーServer 要求を処理したサーバーに基づいて、要求の合計をグループ化します。Groups the total requests based on the server that processed the request. このグループ化は、トラフィック全体の負荷分散を把握するのに役立ちます。This grouping is useful to understand the load distribution of the total traffic.
社内参加Workplace Join 社内参加している (既知の) デバイスから要求が行われたかどうかに基づいて、要求の合計をグループ化します。Groups the total requests based on whether they are coming from devices that are workplace joined (known). このグループ化は、ID インフラストラクチャに対して未知のデバイスを使用してリソースがアクセスされているかどうかを把握するのに役立ちます。This grouping is useful to understand if your resources are accessed using devices that are unknown to the identity infrastructure.
認証方法Authentication Method 認証に使用された認証方法に基づいて、要求の合計をグループ化します。Groups the total requests based on the authentication method used for authentication. このグループ化は、認証に使用される共通の認証方法を把握するのに役立ちます。This grouping is useful to understand the common authentication method that gets used for authentication. 次の認証方法が考えられます。Following are the possible authentication methods
  1. Windows 統合認証 (Windows)Windows Integrated Authentication (Windows)
  2. フォーム ベース認証 (フォーム)Forms Based Authentication (Forms)
  3. SSO (シングル サインオン)SSO (Single Sign On)
  4. X509 証明書認証 (証明書)X509 Certificate Authentication (Certificate)

  5. フェデレーション サーバーが SSO Cookie で要求を受け取る場合、その要求は SSO (シングル サインオン) と見なされます。If the federation servers receive the request with an SSO Cookie, that request is counted as SSO (Single Sign On). このような場合、Cookie が有効であれば、ユーザーは資格情報の提供を要求されずに、シームレスにアプリケーションにアクセスできます。In such cases, if the cookie is valid, the user is not asked to provide credentials and gets seamless access to the application. この動作は、フェデレーション サーバーによって保護される証明書利用者が複数ある場合でも共通です。This behavior is common if you have multiple relying parties protected by the federation servers.
ネットワークの場所Network Location ユーザーのネットワークの場所に基づいて、要求の合計をグループ化します。Groups the total requests based on the network location of the user. イントラネットまたはエクストラネットを指定できます。It can be either intranet or extranet. このグループ化は、イントラネットからのトラフィックとエクストラネットからのトラフィックの割合を把握するのに役立ちます。This grouping is useful to know what percentage of the traffic is coming from the intranet versus extranet.

メトリック: 失敗した要求の合計数 - フェデレーション サービスによって処理され、失敗した要求の合計数。Metric: Total Failed Request - The total number failed requests processed by the federation service. (このメトリックは、Windows Server 2012 R2 の AD FS でのみ使用できます)(This metric is only available on AD FS for Windows Server 2012 R2)

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
エラーの種類Error Type あらかじめ定義されたエラーの種類に基づいて、エラーの数を表示します。Shows the number of errors based on predefined error types. このグループ化は、一般的なエラーの種類を把握するのに役立ちます。This grouping is useful to understand the common types of errors.
  • "ユーザー名またはパスワードが正しくない": 正しくないユーザー名またはパスワードによるエラー。Incorrect Username or Password: Errors due to incorrect username or password.
  • "エクストラネット ロックアウト": エクストラネットからロックアウトされたユーザーから受信した要求によるエラー。"Extranet Lockout": Failures due to the requests received from a user that was locked out from extranet
  • "パスワードの有効期限が切れている": ユーザーが期限切れのパスワードを使用してログインしたことによるエラー。"Expired Password": Failures due to users logging in with an expired password.
  • "無効なアカウント": ユーザーが無効なアカウントを使用してログインしたことによるエラー。"Disabled Account": Failures due to users logging with a disabled account.
  • "デバイス認証": ユーザーがデバイス認証を使用した認証に失敗したことによるエラー。"Device Authentication": Failures due to users failing to authenticate using Device Authentication.
  • "ユーザー証明書の認証": ユーザーが無効な証明書が原因で認証に失敗したことによるエラー。"User Certificate Authentication": Failures due to users failing to authenticate because of an invalid certificate.
  • "MFA": ユーザーが Multi-Factor Authentication を使用した認証に失敗したことによるエラー。"MFA": Failures due to user failing to authenticate using Multi-Factor Authentication.
  • "その他の資格情報": "発行承認": 承認の失敗によるエラー。"Other Credential": "Issuance Authorization": Failures due to authorization failures.
  • "発行委任": 発行委任エラーによるエラー。"Issuance Delegation": Failures due to issuance delegation errors.
  • "トークンの承認": サード パーティの ID プロバイダーからのトークンを ADFS が拒否したことによるエラー。"Token Acceptance": Failures due to ADFS rejecting the token from a third-party Identity Provider.
  • "プロトコル": プロトコル エラーによるエラー。"Protocol": Failure due to protocol errors.
  • "不明": あらゆるものに対応します。"Unknown": Catch all. 定義済みのカテゴリに分類されない、その他すべてのエラー。Any other failures that do not fit into the defined categories.
サーバーServer サーバーに基づいて、エラーをグループ化します。Groups the errors based on the server. このグループ分けは、サーバー間でのエラー分布を把握するのに役立ちます。This grouping is useful to understand the error distribution across servers. 分布が均等でない場合は、サーバーが障害のある状態であることを示す可能性があります。Uneven distribution could be an indicator of a server in a faulty state.
ネットワークの場所Network Location 要求のネットワークの場所 (イントラネットまたはエクストラネット) に基づいて、エラーをグループ化します。Groups the errors based on the network location of the requests (intranet vs extranet). このグループ分けは、エラーになる要求の種類を把握するのに役立ちます。This grouping is useful to understand the type of requests that are failing.
アプリケーションApplication ターゲット アプリケーション (証明書利用者) に基づいて、エラーをグループ化します。Groups the failures based on the targeted application (relying party). このグループ分けは、エラーの数が最も多いターゲット アプリケーションを把握するのに役立ちます。This grouping is useful to understand which targeted application is seeing most number of errors.

メトリック: ユーザー数 - AD FS を使用して活発に認証を受けている一意のユーザーの平均数Metric : User Count - Average number of unique users actively authenticating using AD FS

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
すべてAll このメトリックは、選択したタイム スライスにフェデレーション サービスを使用するユーザー数の平均を示します。This metric provides a count of average number of users using the federation service in the selected time slice. ユーザーはグループ化されません。The users are not grouped.
平均は、選択したタイム スライスによって異なります。The average depends on the time slice selected.
アプリケーションApplication ターゲット アプリケーション (証明書利用者) に基づいて、ユーザー数の平均をグループ化します。Groups the average number of users based on the targeted application (relying party). このグループ分けは、どのアプリケーションを何人のユーザーが使用しているかを把握するのに役立ちます。This grouping is useful to understand how many users are using which application.

AD FS のパフォーマンスの監視Performance Monitoring for AD FS

Azure AD Connect Health のパフォーマンスの監視は、メトリックに関する監視情報を提供します。Azure AD Connect Health Performance Monitoring provides monitoring information on metrics. [監視] ボックスを選択すると、新しいブレードが開かれ、メトリックに関する詳細情報が表示されます。Selecting the Monitoring box, opens a new blade with detailed information on the metrics.

Azure AD Connect Health ポータル

ブレードの上部にある [フィルター] を選択すると、サーバーごとにフィルター処理して個々のサーバーのメトリックを表示することができます。By selecting the Filter option at the top of the blade, you can filter by server to see an individual server’s metrics. メトリックを変更するには、監視ブレードの監視グラフを右クリックし、[グラフの編集] を選択します (または [グラフの編集] ボタンを選択します)。To change metric, right-click on the monitoring chart under the monitoring blade and select Edit Chart (or select the Edit Chart button). 開いた新しいブレードのドロップダウンから追加のメトリックを選択し、パフォーマンス データを表示する時間の範囲を指定します。From the new blade that opens up, you can select additional metrics from the drop-down and specify a time range for viewing the performance data.

ユーザー名とパスワードを使用したログインに失敗したユーザー上位 50 名Top 50 Users with failed Username/Password logins

AD FS サーバーで認証要求が失敗する一般的な理由の 1 つは、無効な資格情報、つまり、間違ったユーザー名かパスワードが要求に使用されていることです。One of the common reasons for a failed authentication request on an AD FS server is a request with invalid credentials, that is, a wrong username or password. 通常は、パスワードが複雑である場合、パスワードを忘れた場合、または入力ミスがあった場合に発生します。Usually happens to users due to complex passwords, forgotten passwords, or typos.

しかし、AD FS サーバーによって処理される要求の数が想定以上に増える原因は、他にもあります。たとえば、アプリケーションでキャッシュされているユーザー資格情報の有効期限が切れた、悪意のあるユーザーが一連のよく知られたパスワードでアカウントにサインインしようとした、などです。But there are other reasons that can result in an unexpected number of requests being handled by your AD FS servers, such as: An application that caches user credentials and the credentials expire or a malicious user attempting to sign into an account with a series of well-known passwords. これらの 2 つの例は、要求の増加につながる可能性が高い理由です。These two examples are valid reasons that could lead to a surge in requests.

Azure AD Connect Health for AD FS では、無効なユーザー名またはパスワードでログインが失敗した上位 50 名のユーザーに関するレポートを表示できます。Azure AD Connect Health for ADFS provides a report about top 50 Users with failed login attempts due to invalid username or password. このレポートは、ファーム内のすべての AD FS サーバーによって生成される監査イベントに基づいて作成されます。This report is achieved by processing the audit events generated by all the AD FS servers in the farms.

Azure AD Connect Health ポータル

このレポートから、次の情報を簡単に確認することができます。Within this report you have easy access to the following pieces of information:

  • 過去 30 日間に間違ったユーザー名/パスワードが原因で失敗した要求の合計数Total # of failed requests with wrong username/password in the last 30 days
  • 無効なユーザー名/パスワードでログインに失敗したユーザーの日単位の平均数Average # of users that failed with a bad username/password login per day.

この部分をクリックすると、詳細な情報が記載されたメイン レポート ブレードが表示されます。Clicking this part takes you to the main report blade that provides additional details. このブレードにはグラフがあり、ユーザー名またはパスワードが間違っている要求に関する基準を確立するために役立つトレンド情報が示されます。This blade includes a graph with trending information to help establish a baseline about requests with wrong username or password. さらに、上位 50 人のユーザーと過去 1 週間の失敗した試行回数の一覧が表示されます。Additionally, it provides the list of top 50 users with the number of failed attempts during the past week. 過去 1 週間の上位 50 人のユーザーを調べると、間違ったパスワードの試行の急増を特定するのに役立つ可能性があります。Notice top 50 users from the past week could help identify bad password spikes.

このグラフには、次の情報が表示されます。The graph provides the following information:

  • 無効なユーザー名/パスワードが原因で失敗したログインの日単位の合計数The total # of failed logins due to a bad username/password on a per-day basis.
  • ログインが失敗した一意のユーザーの日単位の合計数The total # of unique users that failed logins on a per-day basis.
  • 前回の要求のクライアント IP アドレスClient IP address of for last request

Azure AD Connect Health ポータル

このレポートには、次の情報が表示されます。The report provides the following information:

レポート アイテムReport Item 説明Description
ユーザー IDUser ID 使用されたユーザー ID を示しています。Shows the user ID that was used. この値はユーザーが入力した内容です。ときどき、間違ったユーザー ID が使用されていることがあります。This value is what the user typed, which in some cases is the wrong user ID being used.
失敗した試行の回数Failed Attempts そのユーザー ID で試行が失敗した回数の合計を示しています。Shows the total # of failed attempts for that specific user ID. この表は、失敗した試行の回数が多いものから降順に並べ替えられています。The table is sorted with the most number of failed attempts in descending order.
最後の失敗Last Failure 最後に失敗したときのタイム スタンプを示しています。Shows the time stamp when the last failure occurred.
最後のエラー IPLast Failure IP 直近の無効な要求のクライアント IP アドレスを示します。Shows the Client IP address from the latest bad request. この値に複数の IP アドレスが表示されている場合は、転送クライアント IP アドレスとユーザーが最後に試行した要求 IP アドレスが含まれている可能性があります。If you see more than one IP addresses in this value, it may include forward client IP together with user's last attempt request IP.

注意

このレポートは 12 時間ごとに自動的に更新され、その間に収集された新しい情報が反映されます。This report is automatically updated after every 12 hours with the new information collected within that time. そのため、直近の 12 時間に行われたログインの試行は、レポートに反映されていない可能性があります。As a result, login attempts within the last 12 hours may not be included in the report.

危険な IP レポート (パブリック プレビュー)Risky IP Report (Public Preview)

AD FS のお客様は、エンド ユーザーが Office 365 などの SaaS アプリケーションにアクセスするための認証サービスを提供する目的で、パスワード認証エンドポイントをインターネットに公開する場合があります。AD FS customers may expose password authentication endpoints to the internet to provide authentication services for end users to access SaaS applications such as Office 365. この場合、悪意のあるアクターが AD FS システムへのログインを試みて、エンド ユーザーのパスワードを推測し、アプリケーションのリソースにアクセスする可能性があります。In this case, it is possible for a bad actor to attempt logins against your AD FS system to guess an end user’s password and get access to application resources. Windows Server 2012 R2 の AD FS 以降、これらの種類の攻撃を防止するためのエクストラネット アカウント ロックアウト機能が用意されています。AD FS provides the extranet account lockout functionality to prevent these types of attacks since AD FS in Windows Server 2012 R2. これよりも古いバージョンを使用している場合は、AD FS システムを Windows Server 2016 にアップグレードすることを強くお勧めします。If you are on a lower version, we strongly recommend that you upgrade your AD FS system to Windows Server 2016.
さらに、単一の IP アドレスから複数のユーザーに対してログイン試行が複数回実行される可能性もあります。Additionally, it is possible for a single IP address to attempt multiple logins against multiple users. このような場合、ユーザーあたりの試行回数が AD FS のアカウント ロックアウト保護のしきい値に達しない可能性があります。In these cases, the number of attempts per user may be under the threshold for account lockout protection in AD FS. Azure AD Connect Health では、この状態を検出し、その発生時に管理者に通知する "危険な IP のレポート" が提供されるようになりました。Azure AD Connect Health now provides the “Risky IP report” that detects this condition and notifies administrators when this occurs. このレポートの主要な利点を次に示します。The following are the key benefits for this report:

  • 失敗したパスワードベースのログインのしきい値を超える IP アドレスの検出Detection of IP addresses that exceed a threshold of failed password-based logins
  • パスワードの間違いまたはエクストラネットのロックアウト状態が原因で失敗したログインのサポートSupports failed logins due to bad password or due to extranet lockout state
  • この状態の発生時にすぐに管理者に電子メールで通知する機能。電子メール設定をカスタマイズ可能Email notification to alert administrators as soon as this occurs with customizable email settings
  • 組織のセキュリティ ポリシーに適合するカスタマイズ可能なしきい値設定Customizable threshold settings that match with the security policy of an organization
  • オフライン分析用にダウンロード可能なレポートと、他のシステムとの自動での統合Downloadable reports for offline analysis and integration with other systems via automation

注意

このレポートを使用するには、AD FS 監査が有効になっている必要があります。To use this report, you must ensure that AD FS auditing is enabled. 詳細については、「 AD FS の監査の有効化」を参照してください。For more information, see Enable Auditing for AD FS.
プレビューにアクセスするには、全体管理者またはセキュリティ閲覧者のアクセス許可が必要です。To access preview, Global Admin or Security Reader permission is required.

レポートの内容What is in the report

危険な IP のレポートの各項目は、指定されたしきい値を超える、失敗した AD FS サインイン アクティビティに関する集計情報を示します。Each item in the Risky IP report shows aggregated information about failed AD FS sign-in activities which exceed designated threshold. 次の情報が提供されます。Azure AD Connect Health ポータルIt provides the following information: Azure AD Connect Health Portal

レポート アイテムReport Item 説明Description
タイム スタンプTime Stamp Azure Portal の現地時間に基づく、検出時間枠の開始時のタイム スタンプを表示します。Shows the time stamp based on Azure portal local time when the detection time window starts.
日単位のイベントは、すべて UTC の午前 0 時に生成されます。All daily events are generated at mid-night UTC time.
時間単位のイベントのタイムスタンプは、毎時 0 分の値に丸められます。Hourly events have the timestamp rounded to the beginning of the hour. エクスポートされたファイルの "firstAuditTimestamp" から、最初のアクティビティの開始時刻を見つけることができます。You can find first activity start time from “firstAuditTimestamp” in the exported file.
トリガーの種類Trigger Type 検出時間枠の種類を示します。Shows the type of detection time window. 集計トリガーの種類は、"1 時間あたり" または "1 日あたり" です。The aggregation trigger types are per hour or per day. これは、高頻度のブルート フォース攻撃と、試行回数が 1 日の中で分散している低速の攻撃を検出するのに役立ちます。This is helpful to detect versus a high frequency brute force attack versus a slow attack where the number of attempts is distributed throughout the day.
IP アドレスIP Address 間違ったパスワードまたはエクストラネット ロックアウト サインイン アクティビティが発生した単一の危険な IP アドレス。The single risky IP address that had either bad password or extranet lockout sign-in activities. これは、IPv4 アドレスまたは IPv6 アドレスです。This could be a IPv4 or an IPv6 address.
間違ったパスワードのエラー回数Bad Password Error Count 検出時間枠の間に特定の IP アドレスで発生した、間違ったパスワード エラーの数。The count of Bad Password error occurred from the IP address during the detection time window. 間違ったパスワード エラーは、特定のユーザーで複数回発生する可能性があります。The Bad Password errors can happen multiple times to certain users. これには期限切れのパスワードが原因で失敗した試行は含まれないことに注意してください。Notice this does not include failed attempts due to expired passwords.
エクストラネットのロックアウトのエラー回数Extranet Lock Out Error Count 検出時間枠の間に特定の IP アドレスで発生したエクストラネットのロックアウト エラーの数。The count of Extranet Lockout error occurred from the IP address during the detection time window. エクストラネットのロックアウト エラーは、特定のユーザーで複数回発生する可能性があります。The Extranet Lockout errors can happen multiple times to certain users. これは、エクストラネットのロックアウトが AD FS (バージョン 2012R2 以降) で構成されている場合にのみ表示されます。This will only be seen if Extranet Lockout is configured in AD FS (versions 2012R2 or higher). パスワードを使用したエクストラネット ログインを許可する場合は、この機能を有効にすることを強くお勧めします。Note We strongly recommend turning this feature on if you allow extranet logins using passwords.
試行した一意のユーザーUnique Users Attempted 検出時間枠の間に特定の IP アドレスでログインを試行した、一意のユーザー アカウントの数。The count of unique user accounts attempted from the IP address during the detection time window. これにより、単一ユーザーの攻撃パターンと複数ユーザーの攻撃パターンを区別するメカニズムが提供されます。This provides a mechanism to differentiate a single user attack pattern versus multi-user attack pattern.

たとえば、次のレポート アイテムは、2018 年 2 月 28 日の午後 6 時から午後 7 時までの時間枠において、IP アドレス 104.2XX.2XX.9 で、間違ったパスワード エラーが発生していない一方、エクストラネットのロックアウト エラーが 284 回発生したことを示しています。For example, the below report item indicates from the 6pm to 7pm hour window on 02/28/2018, IP address 104.2XX.2XX.9 had no bad password errors and 284 extranet lockout errors. この条件内で影響を受けた一意のユーザーは 14 人でした。14 unique users were impacted within the criteria. このアクティビティ イベントは、指定されたレポートの時間単位のしきい値を超えています。The activity event exceeded the designated report hourly threshold.

Azure AD Connect Health ポータル

注意

  • 指定されたしきい値を超えるアクティビティのみがレポートの一覧に表示されます。Only activities exceeding designated threshold will be showing in the report list.
  • このレポートは、最大で 30 日前まで追跡できます。This report can be trace back at most 30 days.
  • このアラート レポートには、Exchange IP アドレスまたはプライベート IP アドレスは表示されません。This alert report does not show Exchange IP addresses or private IP addresses. ただし、エクスポートした一覧にはこれらのアドレスが含まれます。They are still included in the export list.

Azure AD Connect Health ポータル

一覧のロード バランサーの IP アドレスLoad Balancer IP addresses in the list

ロード バランサーが失敗したサインイン アクティビティを集計し、アラートのしきい値に達しました。Load balancer aggregate failed sign-in activities and hit the alert threshold. ロード バランサーの IP アドレスが表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。If you are seeing load balancer IP addresses, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server. 転送クライアント IP アドレスを渡すようにロード バランサーを適切に構成してください。Please configure your load balancer correctly to pass forward client IP address.

危険な IP のレポートのダウンロードDownload Risky IP report

ダウンロード機能を使用すると、過去 30 日間の危険な IP アドレスの一覧全体を Connect Health Portal からエクスポートできます。エクスポート結果には各検出時間枠の間に失敗したすべての AD FS サインイン アクティビティが含まれるため、エクスポート後にフィルター処理をカスタマイズすることができます。Using the Download functionality, the whole risky IP address list in the past 30 days can be exported from the Connect Health Portal The export result will include all the failed AD FS sign-in activities in each detection time window, so you can customize the filtering after the export. エクスポート結果には、ポータルの強調表示された集計のほかに、失敗したサインイン アクティビティの詳細が IP アドレスごとに示されます。Besides the highlighted aggregations in the portal, the export result also shows more details about failed sign-in activities per IP address:

レポート アイテムReport Item 説明Description
firstAuditTimestampfirstAuditTimestamp 検出時間枠中に失敗したアクティビティがいつ開始されたかを示す、最初のタイムスタンプを表示します。Shows the first timestamp when the failed activities started during the detection time window.
lastAuditTimestamplastAuditTimestamp 検出時間枠中に失敗したアクティビティがいつ終了したかを示す、最初のタイムスタンプを表示します。Shows the last timestamp when the failed activities ended during the detection time window.
attemptCountThresholdIsExceededattemptCountThresholdIsExceeded 現在のアクティビティがアラートしきい値を超えているかどうかを示すフラグ。The flag if the current activities are exceeding the alerting threshold.
isWhitelistedIpAddressisWhitelistedIpAddress IP アドレスがアラートおよびレポート用にフィルター処理されているかどうかを示すフラグ。The flag if the IP address is filtered from alerting and reporting. プライベート IP アドレス (10.x.x.x、172.x.x.x、192.168.x.x) と Exchange IP アドレスはフィルター処理され、True とマークされます。Private IP addresses (10.x.x.x, 172.x.x.x & 192.168.x.x) and Exchange IP addresses are filtered and marked as True. プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。If you are seeing private IP address ranges, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server.

通知設定の構成Configure Notification Settings

レポートの管理者連絡先は、[通知設定] で更新できます。Admin contacts of the report can be updated through the Notification Settings. 既定では、危険な IP アラートの電子メール通知はオフの状態になっています。By default, the risky IP alert email notification is in off state. 通知を有効にするには、[アクティビティ失敗のしきい値を超えている IP アドレスのレポートの通知を電子メールで受け取ります] の下にあるボタンを切り替えます。Connect Health の一般的なアラート通知設定と同様に、危険な IP のレポートに関する指定の通知受信者の一覧をここからカスタマイズできます。You can enable the notification by toggle the button under “Get email notifications for IP addresses exceeding failed activity threshold report” Like generic alert notification settings in Connect Health, it allows you to customize designated notification recipient list about risky IP report from here. 変更を加えると同時に、すべての全体管理者に通知することもできます。You can also notify all global admins while making the change.

しきい値設定の構成Configure Threshold settings

アラートのしきい値は、[しきい値の設定] で更新できます。Alerting threshold can be updated through Threshold Settings. まず、システムには既定でしきい値が設定されています。To start with, system has threshold set by default. 危険な IP のレポートのしきい値設定には、4 つのカテゴリがあります。There are four categories in the risk IP report threshold settings:

Azure AD Connect Health ポータル

しきい値の項目Threshold Item 説明Description
(不良 U/P + エクストラネットのロックアウト) / 日(Bad U/P + Extranet Lockout) / Day "間違ったパスワードの試行回数 + エクストラネットのロックアウトの回数" が 1 日のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。Threshold setting to report the activity and trigger alert notification when the count of Bad Password plus the count of Extranet Lockout exceeds it per day.
(不良 U/P + エクストラネットのロックアウト) / 時間(Bad U/P + Extranet Lockout) / Hour "間違ったパスワードの試行回数 + エクストラネットのロックアウトの回数" が 1 時間のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。Threshold setting to report the activity and trigger alert notification when the count of Bad Password plus the count of Extranet Lockout exceeds it per hour.
エクストラネットのロックアウト / 日Extranet Lockout / Day エクストラネットのロックアウトの回数が 1 日のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。Threshold setting to report the activity and trigger alert notification when the count of Extranet Lockout exceeds it per day.
エクストラネットのロックアウト / 時間Extranet Lockout / Hour エクストラネットのロックアウトの回数が 1 時間のしきい値を超えたときに、アクティビティをレポートしてアラート通知をトリガーするためのしきい値設定。Threshold setting to report the activity and trigger alert notification when the count of Extranet Lockout exceeds it per hour.

注意

  • レポートのしきい値の変更は、設定が変更された 1 時間後に適用されます。The change of report threshold will be applied after an hour of the setting change.
  • 既にレポートされている項目は、しきい値の変更の影響を受けません。Existing reported items will not be affected by the threshold change.
  • ご自分の環境内で見られるイベントの数を分析したうえで、しきい値を適切に調整することをお勧めします。We recommend that you analyze the number of events seen within your environment and adjust the threshold appropriately.

FAQFAQ

  1. レポートにプライベート IP アドレス範囲が表示されるのはなぜですか?Why am I seeing private IP address ranges in the report?
    プライベート IP アドレス (10.x.x.x、172.x.x.x、192.168.x.x) と Exchange IP アドレスはフィルター処理され、IP ホワイトリスト内で True とマークされます。Private IP addresses (10.x.x.x, 172.x.x.x & 192.168.x.x) and Exchange IP addresses are filtered and marked as True in the IP whitelist. プライベート IP アドレス範囲が表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。If you are seeing private IP address ranges, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server.

  2. レポートにロード バランサーの IP アドレスが表示されるのはなぜですか?Why am I seeing load balancer IP addresses in the report?
    ロード バランサーの IP アドレスが表示されている場合は、外部ロード バランサーが要求を Web アプリケーション プロキシ サーバーに渡すときにクライアント IP アドレスを送信していない可能性が高くなっています。If you are seeing load balancer IP addresses, it is highly likely that your external load balancer is not sending the client IP address when it passes the request to the Web Application Proxy server. 転送クライアント IP アドレスを渡すようにロード バランサーを適切に構成してください。Please configure your load balancer correctly to pass forward client IP address.

  3. IP アドレスをブロックするにはどうすればよいですか?What do I do to block the IP address?
    特定した悪意のある IP アドレスをファイアウォールまたは Exchange のブロックに追加する必要があります。You should add identified malicious IP address to the firewall or block in Exchange.

  4. このレポートに項目が何も表示されないのはなぜですか?Why am I not seeing any items in this report?

    • 失敗したサインイン アクティビティがしきい値の設定を超えていません。Failed sign-in activities are not exceeding the threshold settings.
    • AD FS サーバー リストで "Health Service が最新ではありません" アラートがアクティブになっていないことを確認します。Ensure no “Health service is not up to date” alert active in your AD FS server list. このアラートのトラブルシューティングを行う方法を確認してください。Read more about how to troubleshoot this alert.
    • AD FS ファームで監査が有効になっていません。Audits is not enabled in AD FS farms.
  5. レポートにアクセスできないのはなぜですか?Why am I seeing no access to the report?
    全体管理者またはセキュリティ閲覧者のアクセス許可が必要です。Global Admin or Security Reader permission is required. アクセスするには、全体管理者に連絡してください。Please contact your global admin to get access.