AD FS-aanmeldingen in Microsoft Entra-id met Verbinding maken Health - preview
AD FS-aanmeldingen kunnen nu worden geïntegreerd in het Microsoft Entra-aanmeldingsrapport met behulp van Verbinding maken Health. Het rapport Microsoft Entra-aanmeldingen bevat informatie over wanneer gebruikers, toepassingen en beheerde resources zich aanmelden bij Microsoft Entra-id en toegang krijgen tot resources.
De Verbinding maken Health voor AD FS-agent correleert meerdere gebeurtenis-id's van AD FS, afhankelijk van de serverversie, om informatie te verstrekken over de aanvraag en foutdetails als de aanvraag mislukt. Deze informatie is gecorreleerd aan het microsoft Entra-aanmeldingsrapportschema en wordt weergegeven in het UX-aanmeldingsrapport van Microsoft Entra. Naast het rapport is er een nieuwe Log Analytics-stream beschikbaar met de AD FS-gegevens en een nieuwe Azure Monitor-werkmapsjabloon. De sjabloon kan worden gebruikt en gewijzigd voor een uitgebreide analyse voor scenario's zoals AD FS-accountvergrendelingen, ongeldige wachtwoordpogingen en pieken van onverwachte aanmeldingspogingen.
Vereisten
- Microsoft Entra Verbinding maken Health voor AD FS geïnstalleerd en bijgewerkt naar de nieuwste versie (3.1.95.0 of hoger).
- Rol van globale beheerder of rapportlezer om de aanmeldingen van Microsoft Entra weer te geven
Welke gegevens worden weergegeven in het rapport?
De beschikbare gegevens spiegelen dezelfde gegevens die beschikbaar zijn voor Aanmeldingen van Microsoft Entra. Vijf tabbladen met informatie zijn beschikbaar op basis van het type aanmelding, Microsoft Entra ID of AD FS. Verbinding maken Health correleert gebeurtenissen van AD FS, afhankelijk van de serverversie en komt overeen met het AD FS-schema.
Aanmeldingen van gebruikers
Op elk tabblad op de blade Aanmeldingen worden de standaardwaarden hieronder weergegeven:
- Aanmeldingsdatum
- Aanvraag-id
- Gebruikersnaam of gebruikers-id
- Status van de aanmelding
- IP-adres van het apparaat dat wordt gebruikt voor de aanmelding
- Aanmeldings-id
Informatie over verificatiemethode
De volgende waarden kunnen worden weergegeven op het tabblad Verificatie. De verificatiemethode wordt opgehaald uit de AD FS-auditlogboeken.
| Authenticatiemethode | Beschrijving |
|---|---|
| Formulieren | Verificatie van gebruikersnaam/wachtwoord |
| Windows | Geïntegreerde Windows-verificatie |
| Certificaat | Verificatie met SmartCard/VirtualSmart-certificaten |
| WindowsHelloForBusiness | Dit veld is bedoeld voor verificatie met Windows Hello voor Bedrijven. (Microsoft Passport-verificatie) |
| Apparaat | Wordt weergegeven als Apparaatverificatie is geselecteerd als 'Primaire' verificatie vanuit intranet/extranet en apparaatverificatie wordt uitgevoerd. In dit scenario is er geen afzonderlijke gebruikersverificatie. |
| Federatief | AD FS heeft de verificatie niet uitgevoerd, maar verzonden naar een id-provider van derden |
| SSO | Als er een token voor eenmalige aanmelding is gebruikt, wordt dit veld weergegeven. Als eenmalige aanmelding een MFA heeft, wordt deze weergegeven als Multifactor |
| Multifactor | Als een token voor eenmalige aanmelding een MFA heeft en dat is gebruikt voor verificatie, wordt dit veld weergegeven als Multifactor |
| Azure MFA | Azure MFA is geselecteerd als de aanvullende verificatieprovider in AD FS en is gebruikt voor verificatie |
| ADFSExternalAuthenticationProvider | Dit veld is als een externe verificatieprovider is geregistreerd en wordt gebruikt voor verificatie |
Ad FS aanvullende details
De volgende details zijn beschikbaar voor AD FS-aanmeldingen:
- Servernaam
- IP-keten
- Protocol
Log Analytics en Azure Monitor inschakelen
Log Analytics kan worden ingeschakeld voor de AD FS-aanmeldingen en kan worden gebruikt met andere geïntegreerde Log Analytics-onderdelen, zoals Sentinel.
Notitie
AD FS-aanmeldingen kunnen de log analytics-kosten aanzienlijk verhogen, afhankelijk van de hoeveelheid aanmeldingen voor AD FS in uw organisatie. Als u Log Analytics wilt in- en uitschakelen, schakelt u het selectievakje voor de stream in.
Als u Log Analytics voor de functie wilt inschakelen, gaat u naar de blade Log Analytics en selecteert u de stream ADFSSignIns. Met deze selectie kunnen AD FS-aanmeldingen naar Log Analytics stromen.
Als u toegang wilt krijgen tot de bijgewerkte Azure Monitor-werkmapsjabloon, gaat u naar Azure Monitor-sjablonen en selecteert u de werkmap 'aanmeldingen'. Ga naar Azure Monitor Workbooks voor meer informatie over Workbooks.
Veelgestelde vragen
Wat zijn de typen aanmeldingen die ik kan zien? Het aanmeldingsrapport ondersteunt aanmeldingen via O-Auth-, WS-Fed-, SAML- en WS-Trust-protocollen.
Hoe worden verschillende typen aanmeldingen weergegeven in het aanmeldingsrapport? Als een naadloze eenmalige aanmelding wordt uitgevoerd, is er één rij voor de aanmelding met één correlatie-id. Als er één factorverificatie wordt uitgevoerd, worden twee rijen gevuld met dezelfde correlatie-id, maar met twee verschillende verificatiemethoden (dat wil gezegd: Forms, SSO). In het geval van Multi Factor Authentication zijn er drie rijen met een gedeelde correlatie-id en drie bijbehorende verificatiemethoden (dat wil gezegd: Forms, AzureMFA, Multifactor). In dit specifieke voorbeeld toont de multifactor in dit geval aan dat de eenmalige aanmelding een MFA heeft.
Wat zijn de fouten die ik in het rapport kan zien? Voor een volledige lijst met AD FS-gerelateerde fouten die zijn ingevuld in het aanmeldingsrapport en beschrijvingen, gaat u naar AD FS Help-foutcodeverwijzing
Ik zie '00000000-0000-0000-0000-00000000000000' in de sectie Gebruiker van een aanmelding. Wat moet dat betekenen? Als de aanmelding is mislukt en de geprobeerde UPN niet overeenkomt met een bestaande UPN, zijn de velden 'Gebruiker', 'Gebruikersnaam' en 'Gebruikers-id' '00000000-0000-0000-0000-000000000000000' en wordt de aanmeldings-id ingevuld met de geprobeerde waarde die de gebruiker heeft ingevoerd. In dergelijke gevallen bestaat de gebruiker die zich probeert aan te melden niet.
Hoe kan ik mijn on-premises gebeurtenissen correleren met het microsoft Entra-aanmeldingsrapport? De Microsoft Entra Verbinding maken Health-agent voor AD FS correleert gebeurtenis-id's van AD FS afhankelijk van serverversie. De gebeurtenissen zijn beschikbaar in het beveiligingslogboek van de AD FS-servers.
Waarom zie ik NotSet of NotApplicable in de toepassings-id/naam voor sommige AD FS-aanmeldingen? In het ad FS-aanmeldingsrapport worden OAuth-id's weergegeven in het veld Toepassings-id voor OAuth-aanmeldingen. In de aanmeldingsscenario's van WS-Fed, WS-Trust, is de toepassings-id NotSet of NotApplicable en zijn de resource-id's en relying party-id's aanwezig in het veld Resource-id.
Waarom zie ik de velden Resource-id en Resourcenaam als 'Niet ingesteld'? De velden ResourceId/Name zijn 'NotSet' in sommige foutgevallen, zoals Gebruikersnaam en Wachtwoord onjuist en in op WSTrust gebaseerde mislukte aanmeldingen.
Zijn er meer bekende problemen met het rapport in preview? Het rapport heeft een bekend probleem waarbij het veld Verificatievereiste op het tabblad Basisgegevens wordt ingevuld als één factor authentication-waarde voor AD FS-aanmeldingen, ongeacht de aanmelding. Daarnaast wordt op het tabblad Verificatiedetails 'Primair of Secundair' weergegeven onder het veld Vereiste, met een oplossing die wordt uitgevoerd om onderscheid te maken tussen primaire of secundaire verificatietypen.
Verwante koppelingen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor