Logowania usług AD FS w usłudze Microsoft Entra ID z Połączenie Health — wersja zapoznawcza
Logowania usług AD FS można teraz zintegrować z raportem logowania firmy Microsoft Entra przy użyciu usługi Połączenie Health. Raport dotyczący logowań firmy Microsoft zawiera informacje o tym, kiedy użytkownicy, aplikacje i zasoby zarządzane logować się do identyfikatora Entra firmy Microsoft i uzyskiwać dostęp do zasobów.
Kondycja Połączenie agenta usług AD FS koreluje wiele identyfikatorów zdarzeń z usług AD FS, zależnych od wersji serwera, aby podać informacje o żądaniu i szczegóły błędu, jeśli żądanie zakończy się niepowodzeniem. Te informacje są skorelowane ze schematem raportu logowania firmy Microsoft i wyświetlane w środowisku użytkownika raportu logowania firmy Microsoft Entra. Oprócz raportu nowy strumień usługi Log Analytics jest dostępny z danymi usług AD FS i nowym szablonem skoroszytu usługi Azure Monitor. Szablon można używać i modyfikować do szczegółowej analizy scenariuszy, takich jak blokady kont usług AD FS, nieprawidłowe próby hasła i skoki nieoczekiwanych prób logowania.
Wymagania wstępne
- Firma Microsoft Entra Połączenie Health dla usług AD FS zainstalowana i uaktualniona do najnowszej wersji (3.1.95.0 lub nowsza).
- Rola czytelnika administratorów globalnych lub raportów w celu wyświetlenia logowań firmy Microsoft
Jakie dane są wyświetlane w raporcie?
Dostępne dane dubluje te same dane dostępne dla logów firmy Microsoft Entra. Pięć kart z informacjami będzie dostępnych na podstawie typu logowania— identyfikatora Firmy Microsoft lub usług AD FS. Połączenie Health koreluje zdarzenia z usług AD FS, zależne od wersji serwera i dopasuje je do schematu usług AD FS.
Logowania użytkowników
Każda karta w bloku logowania zawiera wartości domyślne poniżej:
- Data logowania
- Identyfikator żądania
- Nazwa użytkownika lub identyfikator użytkownika
- Stan logowania
- Adres IP urządzenia używanego do logowania
- Identyfikator logowania
Informacje o metodzie uwierzytelniania
Na karcie uwierzytelniania mogą być wyświetlane następujące wartości. Metoda uwierzytelniania jest pobierana z dzienników inspekcji usług AD FS.
| Metoda uwierzytelniania | opis |
|---|---|
| Formularze | Uwierzytelnianie nazwy użytkownika/hasła |
| Windows | Uwierzytelnianie zintegrowane z systemem Windows |
| Certyfikat | Uwierzytelnianie za pomocą certyfikatów SmartCard/VirtualSmart |
| WindowsHelloForBusiness | To pole służy do uwierzytelniania za pomocą Windows Hello dla firm. (Uwierzytelnianie za pomocą usługi Microsoft Passport) |
| Urządzenie | Wyświetlane, jeśli uwierzytelnianie urządzenia jest zaznaczone jako "Podstawowe" Uwierzytelnianie z intranetu/ekstranetu i Uwierzytelnianie urządzenia jest wykonywane. W tym scenariuszu nie ma oddzielnego uwierzytelniania użytkownika. |
| Federacyjni | Usługi AD FS nie wykonały uwierzytelniania, ale wysłały je do dostawcy tożsamości innej firmy |
| Logowanie jednokrotne | Jeśli użyto tokenu logowania jednokrotnego, to pole zostanie wyświetlone. Jeśli logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe, zostanie ono wyświetlone jako Wieloskładnikowe |
| Wielopoziomowego | Jeśli token logowania jednokrotnego ma uwierzytelnianie wieloskładnikowe, które zostało użyte do uwierzytelniania, to pole będzie wyświetlane jako Wieloskładnikowe |
| Azure MFA | Usługa Azure MFA jest wybierana jako dodatkowy dostawca uwierzytelniania w usługach AD FS i została użyta do uwierzytelniania |
| ADFSExternalAuthenticationProvider | To pole jest, jeśli dostawca uwierzytelniania innej firmy został zarejestrowany i używany do uwierzytelniania |
Dodatkowe szczegóły usług AD FS
Następujące szczegóły są dostępne dla logowania usług AD FS:
- Nazwa serwera
- Łańcuch adresów IP
- Protokół
Włączanie usługi Log Analytics i usługi Azure Monitor
Usługę Log Analytics można włączyć dla logów usług AD FS i można ich używać z innymi zintegrowanymi składnikami usługi Log Analytics, takimi jak Sentinel.
Uwaga
Logowania do usług AD FS mogą znacznie zwiększyć koszt usługi Log Analytics, w zależności od ilości logów do usług AD FS w organizacji. Aby włączyć i wyłączyć usługę Log Analytics, zaznacz pole wyboru strumienia.
Aby włączyć usługę Log Analytics dla tej funkcji, przejdź do bloku Log Analytics i wybierz strumień "ADFSSignIns". Ten wybór umożliwi logowaniem usług AD FS do przepływu do usługi Log Analytics.
Aby uzyskać dostęp do zaktualizowanego szablonu skoroszytu usługi Azure Monitor, przejdź do pozycji "Szablony usługi Azure Monitor" i wybierz skoroszyt "logowania". Aby uzyskać więcej informacji na temat skoroszytów, odwiedź stronę Skoroszyty usługi Azure Monitor.
Często zadawane pytania
Jakie są typy logów, które mogą być widoczne? Raport logowania obsługuje logowania za pośrednictwem protokołów O-Auth, WS-Fed, SAML i WS-Trust.
W jaki sposób różne typy logowań są wyświetlane w raporcie logowania? Jeśli zostanie wykonane bezproblemowe logowanie jednokrotne, będzie jeden wiersz logowania z jednym identyfikatorem korelacji. W przypadku przeprowadzenia uwierzytelniania jednoskładnikowego dwa wiersze zostaną wypełnione tym samym identyfikatorem korelacji, ale przy użyciu dwóch różnych metod uwierzytelniania (tj. formularzy, logowania jednokrotnego). W przypadku uwierzytelniania wieloskładnikowego będą istnieć trzy wiersze z udostępnionym identyfikatorem korelacji i trzema odpowiednimi metodami uwierzytelniania (np. Formularze, AzureMFA, Multifactor). W tym przykładzie wieloskładnikowy w tym przypadku pokazuje, że logowanie jednokrotne ma uwierzytelnianie wieloskładnikowe.
Jakie błędy widzę w raporcie? Aby uzyskać pełną listę błędów związanych z usługami AD FS, które są wypełniane w raporcie logowania i opisach, odwiedź stronę Ad FS Help Error Code Reference (Dokumentacja kodu błędu pomocy usług AD FS)
Widzę komunikat "000000000-0000-0000-0000-0000000000000" w sekcji "Użytkownik" logowania. Co to oznacza? Jeśli logowanie nie powiodło się, a podjęta próba nazwy UPN nie jest zgodna z istniejącą nazwą UPN, polami "User", "Username" i "User ID" będą pola "00000000-0000-0000-0000000000000" i "Identyfikator logowania" zostaną wypełnione wartością, która została wprowadzona przez użytkownika. W takich przypadkach użytkownik próbujący się zalogować nie istnieje.
Jak skorelować zdarzenia lokalne z raportem logowania firmy Microsoft Entra? Agent microsoft Entra Połączenie Health dla usług AD FS koreluje identyfikatory zdarzeń z usług AD FS zależnych od wersji serwera. Zdarzenia będą dostępne w dzienniku zabezpieczeń serwerów usług AD FS.
Dlaczego w identyfikatorze aplikacji/nazwie niektórych logów usług AD FS jest wyświetlany komunikat NotSet or NotApplicable? Raport logowania usług AD FS wyświetli identyfikatory OAuth w polu Identyfikator aplikacji dla logowań OAuth. W scenariuszach logowania WS-Fed, WS-Trust identyfikator aplikacji będzie notSet lub NotApplicable, a identyfikatory zasobów i jednostki uzależnionej będą obecne w polu Identyfikator zasobu.
Dlaczego widzę pola Identyfikator zasobu i Nazwa zasobu jako "Nie ustawiono"? Pola ResourceId/Name będą zawierać wartość "NotSet" w niektórych przypadkach błędów, takich jak "Nazwa użytkownika i hasło niepoprawne" oraz w przypadku logów zakończonych niepowodzeniem opartych na protokole WSTrust.
Czy istnieją więcej znanych problemów z raportem w wersji zapoznawczej? Raport ma znany problem polegający na tym, że pole "Wymaganie uwierzytelniania" na karcie "Informacje podstawowe" zostanie wypełnione jako wartość uwierzytelniania jednoskładnikowego dla logowań usług AD FS niezależnie od logowania. Ponadto na karcie Szczegóły uwierzytelniania będzie wyświetlana wartość "Podstawowa lub Pomocnicza" w polu Wymaganie z poprawką w toku w celu odróżnienia typów uwierzytelniania podstawowego lub pomocniczego.