Azure AD Connect Health を使用した AD FS の 監視Monitor AD FS using Azure AD Connect Health

次のドキュメントは、Azure AD Connect Health を使用した AD FS インフラストラクチャの監視に固有のドキュメントです。The following documentation is specific to monitoring your AD FS infrastructure with Azure AD Connect Health. Azure AD Connect Health での Azure AD Connect (同期) の監視については、「 Azure AD Connect Health for Sync の使用」を参照してください。また、Azure AD Connect Health での Active Directory Domain Services の監視については、「AD DS での Azure AD Connect Health の使用」を参照してください。For information on monitoring Azure AD Connect (Sync) with Azure AD Connect Health, see Using Azure AD Connect Health for Sync. Additionally, for information on monitoring Active Directory Domain Services with Azure AD Connect Health, see Using Azure AD Connect Health with AD DS.

AD FS のアラートAlerts for AD FS

Azure AD Connect Health アラート セクションには、アクティブなアラートの一覧が表示されます。The Azure AD Connect Health Alerts section provides you the list of active alerts. 各アラートには、関連情報、解決の手順、関連ドキュメントのリンクが含まれます。Each alert includes relevant information, resolution steps, and links to related documentation.

アクティブまたは解決済みのアラートをダブルクリックすると、新しいブレードが開かれ、追加情報、アラートを解決するための手順、関連ドキュメントへのリンクなどが表示されます。You can double-click an active or resolved alert, to open a new blade with additional information, steps you can take to resolve the alert, and links to relevant documentation. 過去に解決されたアラートの履歴データも表示できます。You can also view historical data on alerts that were resolved in the past.

Azure AD Connect Health ポータル

AD FS の利用状況分析Usage Analytics for AD FS

Azure AD Connect Health 利用状況分析では、フェデレーション サーバーの認証トラフィックを分析できます。Azure AD Connect Health Usage Analytics analyzes the authentication traffic of your federation servers. [利用状況分析] ボックスをダブルクリックすると、[利用状況分析] ブレードが開き、いくつかのメトリックとグループ分けが表示されます。You can double-click the usage analytics box, to open the usage analytics blade, which shows you several metrics and groupings.


AD FS で利用状況分析を使用するには、AD FS 監査が有効になっている必要があります。To use Usage Analytics with AD FS, you must ensure that AD FS auditing is enabled. 詳細については、「 AD FS の監査の有効化」を参照してください。For more information, see Enable Auditing for AD FS.

Azure AD Connect Health ポータル

追加のメトリックの選択、時間範囲の指定、グループ分けの変更を行うには、利用状況の分析グラフを右クリックし、[グラフの編集] を選択します。To select additional metrics, specify a time range, or to change the grouping, right-click on the usage analytics chart and select Edit Chart. これで、時間範囲の指定、別のメトリックの選択、グループ分けの変更を行うことができます。Then you can specify the time range, select a different metric, and change the grouping. さまざまな "メトリック" に基づいて認証トラフィックの分布を確認し、次のセクションに示す "グループ化" という関連パラメーターを使用して各メトリックをグループ化できます。You can view the distribution of the authentication traffic based on different "metrics" and group each metric using relevant "group by" parameters described in the following section:

メトリック: 合計要求数 - AD FS サーバーによって処理された要求の合計数。Metric : Total Requests - Total number of requests processed by AD FS servers.

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
AllAll すべての AD FS サーバーによって処理された要求の合計数を示します。Shows the count of total number of requests processed by all AD FS servers.
ApplicationApplication 対象となる証明書利用者に基づいて、要求の合計をグループ化します。Groups the total requests based on the targeted relying party. このグループ化は、どのアプリケーションがトラフィック全体のどの程度の割合を受信しているかを把握するのに役立ちます。This grouping is useful to understand which application is receiving how much percentage of the total traffic.
サーバーServer 要求を処理したサーバーに基づいて、要求の合計をグループ化します。Groups the total requests based on the server that processed the request. このグループ化は、トラフィック全体の負荷分散を把握するのに役立ちます。This grouping is useful to understand the load distribution of the total traffic.
社内参加Workplace Join 社内参加している (既知の) デバイスから要求が行われたかどうかに基づいて、要求の合計をグループ化します。Groups the total requests based on whether they are coming from devices that are workplace joined (known). このグループ化は、ID インフラストラクチャに対して未知のデバイスを使用してリソースがアクセスされているかどうかを把握するのに役立ちます。This grouping is useful to understand if your resources are accessed using devices that are unknown to the identity infrastructure.
認証方法Authentication Method 認証に使用された認証方法に基づいて、要求の合計をグループ化します。Groups the total requests based on the authentication method used for authentication. このグループ化は、認証に使用される共通の認証方法を把握するのに役立ちます。This grouping is useful to understand the common authentication method that gets used for authentication. 次の認証方法が考えられます。Following are the possible authentication methods
  1. Windows 統合認証 (Windows)Windows Integrated Authentication (Windows)
  2. フォーム ベース認証 (フォーム)Forms Based Authentication (Forms)
  3. SSO (シングル サインオン)SSO (Single Sign On)
  4. X509 証明書認証 (証明書)X509 Certificate Authentication (Certificate)

  5. フェデレーション サーバーが SSO Cookie で要求を受け取る場合、その要求は SSO (シングル サインオン) と見なされます。If the federation servers receive the request with an SSO Cookie, that request is counted as SSO (Single Sign On). このような場合、Cookie が有効であれば、ユーザーは資格情報の提供を要求されずに、シームレスにアプリケーションにアクセスできます。In such cases, if the cookie is valid, the user is not asked to provide credentials and gets seamless access to the application. この動作は、フェデレーション サーバーによって保護される証明書利用者が複数ある場合でも共通です。This behavior is common if you have multiple relying parties protected by the federation servers.
ネットワークの場所Network Location ユーザーのネットワークの場所に基づいて、要求の合計をグループ化します。Groups the total requests based on the network location of the user. イントラネットまたはエクストラネットを指定できます。It can be either intranet or extranet. このグループ化は、イントラネットからのトラフィックとエクストラネットからのトラフィックの割合を把握するのに役立ちます。This grouping is useful to know what percentage of the traffic is coming from the intranet versus extranet.

メトリック: 失敗した要求の合計数 - フェデレーション サービスによって処理され、失敗した要求の合計数。Metric: Total Failed Request - The total number failed requests processed by the federation service. (このメトリックは、Windows Server 2012 R2 の AD FS でのみ使用できます)(This metric is only available on AD FS for Windows Server 2012 R2)

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
エラーの種類Error Type あらかじめ定義されたエラーの種類に基づいて、エラーの数を表示します。Shows the number of errors based on predefined error types. このグループ化は、一般的なエラーの種類を把握するのに役立ちます。This grouping is useful to understand the common types of errors.
  • "ユーザー名またはパスワードが正しくない": 正しくないユーザー名またはパスワードによるエラー。Incorrect Username or Password: Errors due to incorrect username or password.
  • "エクストラネット ロックアウト": エクストラネットからロックアウトされたユーザーから受信した要求によるエラー。"Extranet Lockout": Failures due to the requests received from a user that was locked out from extranet
  • "パスワードの有効期限が切れている": ユーザーが期限切れのパスワードを使用してログインしたことによるエラー。"Expired Password": Failures due to users logging in with an expired password.
  • "無効なアカウント": ユーザーが無効なアカウントを使用してログインしたことによるエラー。"Disabled Account": Failures due to users logging with a disabled account.
  • "デバイス認証": ユーザーがデバイス認証を使用した認証に失敗したことによるエラー。"Device Authentication": Failures due to users failing to authenticate using Device Authentication.
  • "ユーザー証明書の認証": ユーザーが無効な証明書が原因で認証に失敗したことによるエラー。"User Certificate Authentication": Failures due to users failing to authenticate because of an invalid certificate.
  • "MFA": ユーザーが Multi-Factor Authentication を使用した認証に失敗したことによるエラー。"MFA": Failures due to user failing to authenticate using Multi-Factor Authentication.
  • "その他の資格情報": "発行承認": 認可の失敗によるエラー。"Other Credential": "Issuance Authorization": Failures due to authorization failures.
  • "発行委任": 発行委任エラーによるエラー。"Issuance Delegation": Failures due to issuance delegation errors.
  • "トークンの承認": サード パーティの ID プロバイダーからのトークンを ADFS が拒否したことによるエラー。"Token Acceptance": Failures due to ADFS rejecting the token from a third-party Identity Provider.
  • "プロトコル": プロトコル エラーによるエラー。"Protocol": Failure due to protocol errors.
  • "不明": あらゆるものに対応します。"Unknown": Catch all. 定義済みのカテゴリに分類されない、その他すべてのエラー。Any other failures that do not fit into the defined categories.
サーバーServer サーバーに基づいて、エラーをグループ化します。Groups the errors based on the server. このグループ分けは、サーバー間でのエラー分布を把握するのに役立ちます。This grouping is useful to understand the error distribution across servers. 分布が均等でない場合は、サーバーが障害のある状態であることを示す可能性があります。Uneven distribution could be an indicator of a server in a faulty state.
ネットワークの場所Network Location 要求のネットワークの場所 (イントラネットまたはエクストラネット) に基づいて、エラーをグループ化します。Groups the errors based on the network location of the requests (intranet vs extranet). このグループ分けは、エラーになる要求の種類を把握するのに役立ちます。This grouping is useful to understand the type of requests that are failing.
ApplicationApplication ターゲット アプリケーション (証明書利用者) に基づいて、エラーをグループ化します。Groups the failures based on the targeted application (relying party). このグループ分けは、エラーの数が最も多いターゲット アプリケーションを把握するのに役立ちます。This grouping is useful to understand which targeted application is seeing most number of errors.

メトリック: ユーザー数 - AD FS を使用して活発に認証を受けている一意のユーザーの平均数Metric : User Count - Average number of unique users actively authenticating using AD FS

グループ化Group By グループ化の意味と役立つ理由What the grouping means and why it's useful?
AllAll このメトリックは、選択したタイム スライスにフェデレーション サービスを使用するユーザー数の平均を示します。This metric provides a count of average number of users using the federation service in the selected time slice. ユーザーはグループ化されません。The users are not grouped.
平均は、選択したタイム スライスによって異なります。The average depends on the time slice selected.
ApplicationApplication ターゲット アプリケーション (証明書利用者) に基づいて、ユーザー数の平均をグループ化します。Groups the average number of users based on the targeted application (relying party). このグループ分けは、どのアプリケーションを何人のユーザーが使用しているかを把握するのに役立ちます。This grouping is useful to understand how many users are using which application.

AD FS のパフォーマンスの監視Performance Monitoring for AD FS

Azure AD Connect Health のパフォーマンスの監視は、メトリックに関する監視情報を提供します。Azure AD Connect Health Performance Monitoring provides monitoring information on metrics. [監視] ボックスを選択すると、新しいブレードが開かれ、メトリックに関する詳細情報が表示されます。Selecting the Monitoring box, opens a new blade with detailed information on the metrics.

Azure AD Connect Health ポータル

ブレードの上部にある [フィルター] を選択すると、サーバーごとにフィルター処理して個々のサーバーのメトリックを表示することができます。By selecting the Filter option at the top of the blade, you can filter by server to see an individual server’s metrics. メトリックを変更するには、監視ブレードの監視グラフを右クリックし、[グラフの編集] を選択します (または [グラフの編集] ボタンを選択します)。To change metric, right-click on the monitoring chart under the monitoring blade and select Edit Chart (or select the Edit Chart button). 開いた新しいブレードのドロップダウンから追加のメトリックを選択し、パフォーマンス データを表示する時間の範囲を指定します。From the new blade that opens up, you can select additional metrics from the drop-down and specify a time range for viewing the performance data.

ユーザー名とパスワードを使用したログインに失敗したユーザー上位 50 名Top 50 Users with failed Username/Password logins

AD FS サーバーで認証要求が失敗する一般的な理由の 1 つは、無効な資格情報、つまり、間違ったユーザー名かパスワードが要求に使用されていることです。One of the common reasons for a failed authentication request on an AD FS server is a request with invalid credentials, that is, a wrong username or password. 通常は、パスワードが複雑である場合、パスワードを忘れた場合、または入力ミスがあった場合に発生します。Usually happens to users due to complex passwords, forgotten passwords, or typos.

一方で、AD FS サーバーで処理される要求の数が想定以上に増える原因は他にもあります。たとえば、アプリケーションにキャッシュされているユーザー資格情報の有効期限が切れた、よく使用されるパスワードを使用して悪意のあるユーザーがアカウントにサインインしようとした、などが挙げられます。But there are other reasons that can result in an unexpected number of requests being handled by your AD FS servers, such as: An application that caches user credentials and the credentials expire or a malicious user attempting to sign into an account with a series of well-known passwords. これらの 2 つの例は、要求の増加につながる可能性が高い理由です。These two examples are valid reasons that could lead to a surge in requests.

Azure AD Connect Health for AD FS では、無効なユーザー名またはパスワードでログインが失敗した上位 50 名のユーザーに関するレポートを表示できます。Azure AD Connect Health for ADFS provides a report about top 50 Users with failed login attempts due to invalid username or password. このレポートは、ファーム内のすべての AD FS サーバーによって生成される監査イベントに基づいて作成されます。This report is achieved by processing the audit events generated by all the AD FS servers in the farms.

Azure AD Connect Health ポータル

このレポートから、次の情報を簡単に確認することができます。Within this report you have easy access to the following pieces of information:

  • 過去 30 日間に間違ったユーザー名/パスワードが原因で失敗した要求の合計数Total # of failed requests with wrong username/password in the last 30 days
  • 無効なユーザー名/パスワードでログインに失敗したユーザーの日単位の平均数Average # of users that failed with a bad username/password login per day.

この部分をクリックすると、詳細な情報が記載されたメイン レポート ブレードが表示されます。Clicking this part takes you to the main report blade that provides additional details. このブレードにはグラフがあり、ユーザー名またはパスワードが間違っている要求に関する基準を確立するために役立つトレンド情報が示されます。This blade includes a graph with trending information to help establish a baseline about requests with wrong username or password. さらに、上位 50 人のユーザーと過去 1 週間の失敗した試行回数の一覧が表示されます。Additionally, it provides the list of top 50 users with the number of failed attempts during the past week. 過去 1 週間の上位 50 人のユーザーを調べると、間違ったパスワードの試行の急増を特定するのに役立つ可能性があります。Notice top 50 users from the past week could help identify bad password spikes.

このグラフには、次の情報が表示されます。The graph provides the following information:

  • 無効なユーザー名/パスワードが原因で失敗したログインの日単位の合計数The total # of failed logins due to a bad username/password on a per-day basis.
  • ログインが失敗した一意のユーザーの日単位の合計数The total # of unique users that failed logins on a per-day basis.
  • 前回の要求のクライアント IP アドレスClient IP address of for last request

Azure AD Connect Health ポータル

このレポートには、次の情報が表示されます。The report provides the following information:

レポート アイテムReport Item 説明Description
User IDUser ID 使用されたユーザー ID を示しています。Shows the user ID that was used. この値はユーザーが入力した内容です。ときどき、間違ったユーザー ID が使用されていることがあります。This value is what the user typed, which in some cases is the wrong user ID being used.
失敗した試行の回数Failed Attempts そのユーザー ID で試行が失敗した回数の合計を示しています。Shows the total # of failed attempts for that specific user ID. この表は、失敗した試行の回数が多いものから降順に並べ替えられています。The table is sorted with the most number of failed attempts in descending order.
最後の失敗Last Failure 最後に失敗したときのタイム スタンプを示しています。Shows the time stamp when the last failure occurred.
最後のエラー IPLast Failure IP 直近の無効な要求のクライアント IP アドレスを示します。Shows the Client IP address from the latest bad request. この値に複数の IP アドレスが表示されている場合は、転送クライアント IP アドレスとユーザーが最後に試行した要求 IP アドレスが含まれている可能性があります。If you see more than one IP addresses in this value, it may include forward client IP together with user's last attempt request IP.


このレポートは 12 時間ごとに自動的に更新され、その間に収集された新しい情報が反映されます。This report is automatically updated after every 12 hours with the new information collected within that time. そのため、直近の 12 時間に行われたログインの試行は、レポートに反映されていない可能性があります。As a result, login attempts within the last 12 hours may not be included in the report.