Entradas do AD FS no Microsoft Entra ID com Connect Health - visualização
As entradas do AD FS agora podem ser integradas ao relatório de entradas do Microsoft Entra usando o Connect Health. O relatório Relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entram na ID do Microsoft Entra e acessam recursos.
O agente Connect Health for AD FS correlaciona várias IDs de Evento do AD FS, dependendo da versão do servidor, para fornecer informações sobre a solicitação e detalhes de erro se a solicitação falhar. Essas informações são correlacionadas ao esquema de relatório de entrada do Microsoft Entra e exibidas na UX do relatório de entrada do Microsoft Entra. Juntamente com o relatório, um novo fluxo do Log Analytics está disponível com os dados do AD FS e um novo modelo de Pasta de Trabalho do Azure Monitor. O modelo pode ser usado e modificado para uma análise aprofundada de cenários como bloqueios de conta do AD FS, tentativas de senha incorreta e picos de tentativas de entrada inesperadas.
Pré-requisitos
- Microsoft Entra Connect Health para AD FS instalado e atualizado para a versão mais recente (3.1.95.0 ou posterior).
- Função de administrador global ou leitor de relatórios para exibir as entradas do Microsoft Entra
Que dados são apresentados no relatório?
Os dados disponíveis espelham os mesmos dados disponíveis para entradas do Microsoft Entra. Cinco guias com informações estarão disponíveis com base no tipo de entrada, seja Microsoft Entra ID ou AD FS. O Connect Health correlaciona eventos do AD FS, dependendo da versão do servidor, e os faz corresponder ao esquema do AD FS.
Entradas de utilizador
Cada guia na folha de entrada mostra os valores padrão abaixo:
- Data de início de sessão
- ID do Pedido
- Nome de utilizador ou ID de utilizador
- Estado do início de sessão
- Endereço IP do dispositivo utilizado para o início de sessão
- Identificador de início de sessão
Informações sobre o método de autenticação
Os seguintes valores podem ser exibidos na guia autenticação. O método de autenticação é obtido dos logs de auditoria do AD FS.
| Método de autenticação | Description |
|---|---|
| Formulários | Autenticação de nome de utilizador/palavra-passe |
| Windows | Autenticação integrada ao Windows |
| Certificado | Autenticação com certificados SmartCard / VirtualSmart |
| WindowsHelloForBusiness | Este campo é para autenticação com o Windows Hello for Business. (Autenticação do Microsoft Passport) |
| Dispositivo | Exibido se a Autenticação de Dispositivo estiver selecionada como Autenticação "Principal" da intranet/extranet e a Autenticação de Dispositivo for executada. Não há autenticação de usuário separada nesse cenário. |
| Federados | O AD FS não fez a autenticação, mas a enviou para um provedor de identidade de terceiros |
| SSO | Se um token de logon único tiver sido usado, esse campo será exibido. Se o SSO tiver um MFA, ele será exibido como Multifator |
| Multifatorial | Se um token de logon único tiver uma MFA e que foi usado para autenticação, esse campo será exibido como Multifactor |
| Azure MFA | O Azure MFA é selecionado como o Provedor de Autenticação Adicional no AD FS e foi usado para autenticação |
| ADFSExternalAuthenticationProvider | Este campo é se um provedor de autenticação de terceiros foi registrado e usado para autenticação |
Detalhes adicionais do AD FS
Os seguintes detalhes estão disponíveis para entradas do AD FS:
- Server Name (Nome do Servidor)
- Cadeia IP
- Protocolo
Habilitando o Log Analytics e o Azure Monitor
O Log Analytics pode ser habilitado para as entradas do AD FS e pode ser usado com qualquer outro componente integrado do Log Analytics, como o Sentinel.
Nota
As entradas do AD FS podem aumentar significativamente o custo do Log Analytics, dependendo da quantidade de entradas no AD FS na sua organização. Para ativar e desativar o Log Analytics, marque a caixa de seleção do fluxo.
Para habilitar o Log Analytics para o recurso, navegue até a folha do Log Analytics e selecione o fluxo "ADFSSignIns". Essa seleção permitirá que as entradas do AD FS fluam para o Log Analytics.
Para acessar o modelo atualizado da Pasta de Trabalho do Azure Monitor, navegue até "Modelos do Azure Monitor" e selecione a Pasta de Trabalho "login". Para obter mais informações sobre Pastas de Trabalho, visite Pastas de Trabalho do Azure Monitor.
Perguntas Mais Frequentes
Quais são os tipos de entradas que posso ver? O relatório de entrada oferece suporte a entradas por meio dos protocolos O-Auth, WS-Fed, SAML e WS-Trust.
Como são apresentados os diferentes tipos de início de sessão no relatório de início de sessão? Se uma entrada SSO contínua for executada, haverá uma linha para a entrada com uma ID de correlação. Se uma autenticação de fator único for executada, duas linhas serão preenchidas com a mesma ID de correlação, mas com dois métodos de autenticação diferentes (ou seja, formulários, SSO). Nos casos de Autenticação Multifator, haverá três linhas com um ID de correlação compartilhado e três Métodos de Autenticação correspondentes (ou seja, Formulários, AzureMFA, Multifator). Neste exemplo em particular, o multifator, neste caso, mostra que o SSO tem uma AMF.
Quais são os erros que posso ver no relatório? Para obter uma lista completa dos erros relacionados ao AD FS que são preenchidos no relatório de entrada e nas descrições, visite Referência de código de erro da Ajuda do AD FS
Estou vendo "00000000-0000-0000-0000-0000000000000" na seção "Usuário" de um login. O que é que isso significa? Se o início de sessão falhar e a tentativa de UPN não corresponder a um UPN existente, os campos "Utilizador", "Nome de utilizador" e "ID de utilizador" serão "00000000-0000-0000-0000-0000000000000" e o "Identificador de início de sessão" será preenchido com o valor de tentativa introduzido pelo utilizador. Nestes casos, o utilizador que está a tentar iniciar sessão não existe.
Como posso correlacionar meus eventos locais ao relatório de entradas do Microsoft Entra? O agente Microsoft Entra Connect Health para AD FS correlaciona IDs de evento do AD FS dependentes da versão do servidor. Os eventos estarão disponíveis no Log de Segurança dos servidores AD FS.
Por que motivo vejo NotSet ou NotApplicable no ID/Nome da Aplicação para alguns inícios de sessão do AD FS? O relatório de entrada do AD FS exibirá Ids OAuth no campo ID do Aplicativo para entradas OAuth. Nos cenários de entrada WS-Fed, WS-Trust, a ID do aplicativo será NotSet ou NotApplicable e as IDs de Recursos e identificadores de Terceira Parte Confiável estarão presentes no campo ID do Recurso.
Por que vejo os campos ID do recurso e Nome do recurso como "Não definido"? Os campos ResourceId/Name serão "NotSet" em alguns casos de erro, como "Nome de usuário e senha incorretos" e em entradas com falha baseadas em WSTrust.
Existem mais problemas conhecidos com o relatório em pré-visualização? O relatório tem um problema conhecido em que o campo "Requisito de autenticação" na guia "Informações básicas" será preenchido como um valor de autenticação de fator único para entradas do AD FS, independentemente da entrada. Além disso, a guia Detalhes da autenticação exibirá "Primário ou Secundário" no campo Requisito, com uma correção em andamento para diferenciar os tipos de autenticação Primária ou Secundária.