AD FS 的 Microsoft Entra 連線 Health 代理程式
在本文中,您將瞭解如何安裝和設定 Microsoft Entra 連線 Health 代理程式。 下列文件專屬於使用 Microsoft Entra 連線 Health 安裝及監視 AD FS 基礎結構。 如需監視 Microsoft Entra 連線 (Sync) 與 Microsoft Entra 連線 Health 的詳細資訊,請參閱使用 Microsoft Entra 連線 Health for Sync。此外,如需使用 Microsoft Entra 連線 Health 監視 Active Directory 網域服務 的詳細資訊,請參閱搭配 AD DS 使用 Microsoft Entra 連線 Health。
瞭解如何 下載代理程式。
注意
中國主權雲端不提供 Microsoft Entra 連線 Health。
需求
下表列出使用 Microsoft Entra 連線 Health 的需求:
| 需求 | 描述 |
|---|---|
| 您有 Microsoft Entra ID P1 或 P2 訂用帳戶。 | Microsoft Entra 連線 Health 是 Microsoft Entra ID P1 或 P2 的功能。 如需詳細資訊,請參閱 註冊 Microsoft Entra ID P1 或 P2。 若要開始免費試用 30 天,請參閱 開始試用。 |
| 您是 Microsoft Entra ID 中的全域管理員。 | 目前,只有 Global 管理員 istrator 帳戶可以安裝及設定健康情況代理程式。 如需詳細資訊,請參閱 管理員 註冊您的 Microsoft Entra 目錄。 藉由使用 Azure 角色型存取控制 (Azure RBAC),您可以允許組織中的其他使用者存取 Microsoft Entra 連線 Health。 如需詳細資訊,請參閱適用於 Microsoft Entra 連線 Health 的 Azure RBAC。 重要事項:使用公司或學校帳戶來安裝代理程式。 您無法使用 Microsoft 帳戶來安裝代理程式。 如需詳細資訊,請參閱 以組織身分註冊 Azure。 |
| Microsoft Entra Connect Health 代理程式已安裝在每個目標伺服器上。 | 健康情況代理程式必須在目標伺服器上安裝及設定,以便接收數據並提供監視和分析功能。 例如,若要從 Active Directory 同盟服務 (AD FS) 基礎結構取得數據,您必須在 AD FS 伺服器和 Web 應用程式 Proxy 伺服器上安裝代理程式。 同樣地,若要從內部部署 AD Domain Services 基礎結構取得數據,您必須在域控制器上安裝代理程式。 |
| Azure 服務端點有輸出連線。 | 在安裝和運行時間期間,代理程式需要連線至 Microsoft Entra 連線 Health 服務端點。 如果防火牆封鎖輸出連線,請將 輸出連線端點 新增至允許清單。 |
| 輸出連線是以 IP 位址為基礎。 | 如需以IP位址為基礎的防火牆篩選資訊,請參閱 Azure IP 範圍。 |
| 傳出流量的 TLS 檢查已經過篩選或已停用。 | 如果網路層有 TLS 檢查或終止輸出流量,代理程式註冊步驟或數據上傳作業可能會失敗。 如需詳細資訊,請參閱 設定 TLS 檢查。 |
| 伺服器上的防火牆連接埠正執行代理程式。 | 代理程式需要開啟下列防火牆埠,才能與 Microsoft Entra 連線 Health 服務端點通訊: - TCP 連接埠 443 - TCP 連接埠 5671 最新版本的代理程式不需要連接埠 5671。 請升級至最新版本,如此一來便僅需要連接埠 443。 如需詳細資訊,請參閱 混合式身分識別所需的埠和通訊協定。 |
| 如果已啟用 Internet Explorer 增強式安全性,請允許指定的網站。 | 如果已啟用 Internet Explorer 增強式安全性,請在安裝代理程式的伺服器上允許下列網站: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - Microsoft Entra ID 所信任組織的同盟伺服器(例如 , https://sts.contoso.com。 如需詳細資訊,請參閱 如何設定 Internet Explorer。 如果您的網路中有 Proxy,請參閱此表格結尾出現的附註。 |
| 已安裝PowerShell 5.0版或更新版本。 | Windows Server 2016 包含 PowerShell 5.0 版。 |
重要
Windows Server Core 不支援安裝 Microsoft Entra 連線 Health 代理程式。
注意
如果您有高度鎖定和受限制的環境,則必須新增比 Internet Explorer 增強式安全性資料表清單的 URL 更多 URL。 同時新增下一節中表格所列的 URL。
新版本的代理程式和自動升級
如果發行新版本的健康情況代理程式,則任何現有的已安裝代理程式都會自動更新。
對 Azure 服務端點的輸出連線
在安裝和運行時間期間,代理程式需要連線到 Microsoft Entra 連線 Health 服務端點。 如果防火牆封鎖輸出連線,請確定下表中的URL預設不會遭到封鎖。
請勿停用這些 URL 的安全性監視或檢查。 相反地,請允許它們,因為您可以允許其他因特網流量。
這些 URL 允許與 Microsoft Entra 連線 Health 服務端點通訊。 本文稍後,您將瞭解如何使用 Test-AzureADConnectHealthConnectivity來檢查輸出連線能力。
| 網域環境 | 必要的 Azure 服務端點 |
|---|---|
| 一般公眾 | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - 埠:5671(如果封鎖 5671,代理程式會回復為 443,但建議您使用埠 5671。最新版本的代理程式不需要此端點。- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點僅用於註冊期間的探索用途。- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點僅用於註冊期間的探索用途。- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
下載代理程式
若要下載並安裝 Microsoft Entra 連線 Health 代理程式:
- 請確定您符合安裝 Microsoft Entra 連線 Health 的需求。
- 開始使用適用於 AD FS 的 Microsoft Entra 連線 Health:
- 下載適用於AD FS的 Microsoft Entra 連線 Health 代理程式。
- 請參閱安裝指示。
- 開始使用 Microsoft Entra 連線 Health 進行同步處理:
- 下載並安裝最新版本的 Microsoft Entra 連線。 同步處理的健康情況代理程式會安裝為 Microsoft Entra 連線 安裝的一部分(1.0.9125.0 版或更新版本)。
- 開始使用適用於 AD Domain Services 的 Microsoft Entra 連線 Health:
- 下載適用於 AD Domain Services 的 Microsoft Entra 連線 Health 代理程式。
安裝AD FS的代理程式
注意
您的AD FS 伺服器應該與同步伺服器分開。 請勿在同步伺服器上安裝AD FS代理程式。
注意
同步處理的健康情況代理程式會安裝為 Microsoft Entra 連線 安裝的一部分(1.0.9125.0 版或更新版本)。 如果您嘗試在 Microsoft Entra 連線 伺服器上安裝舊版 AD FS 的健康情況代理程式,您會收到錯誤。 如果您需要在計算機上安裝 AD FS 的健康情況代理程式,您應該下載最新版本,然後卸載在 Microsoft Entra 安裝期間安裝的版本 連線。
安裝代理程式之前,請確定您的 AD FS 伺服器主機名稱是唯一的,且不存在於 AD FS 服務中。
若要啟動代理程式安裝,請 按兩下您下載.exe 檔案。 在第一個對話框中,選取 [ 安裝]。
出現提示時,請使用具有註冊代理程序許可權的 Microsoft Entra 帳戶登入。 根據預設,混合式身分識別 管理員 istrator 帳戶具有許可權。
登入之後,安裝程式就會完成,而且您可以關閉視窗。
此時,代理程式服務應該會開始自動允許代理程式安全地將所需的數據上傳至雲端服務。
若要驗證已安裝代理程式,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra 連線 Agent Updater
- Microsoft Entra 連線 Health Agent
啟用 AD FS 的稽核
注意
本節僅適用於AD FS 伺服器。 您不需要在 Web 應用程式 Proxy 伺服器上完成這些步驟。
使用分析功能需要收集和分析數據,因此 Microsoft Entra 連線 Health 代理程式需要 AD FS 稽核記錄中的資訊。 預設不會啟用這些記錄。 使用下列程式來啟用AD FS稽核,並在AD FS 伺服器上找出AD FS稽核記錄。
啟用 AD FS 的稽核
在 [開始] 畫面上,開啟 [伺服器管理員],然後開啟 [本機安全策略]。 或者,在任務欄上開啟 伺服器管理員,然後選取 [工具/本機安全策略]。
移至 [安全性 設定\本機原則\用戶權力指派] 資料夾。 按兩下 [ 產生安全性稽核]。
在 [本機安全性設定] 索引標籤上,驗證 AD FS 服務帳戶是否已列出。 如果未列出,請選取 [新增使用者或群組],然後將AD FS服務帳戶新增至清單。 然後選取確定。
若要啟用稽核,請以系統管理員身分開啟命令提示字元視窗,然後執行下列命令:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable關閉 本機安全策略。
重要
只有主要 AD FS 伺服器才需要其餘步驟。
在AD FS 伺服器上啟用稽核屬性
- 開啟 AD FS 管理嵌入式管理單元。 (In 伺服器管理員,選取 [工具>AD FS 管理]。
- 在 [動作] 窗格中,選取 [編輯同盟服務屬性]。
- 在 [ 同盟服務屬性] 對話框中,選取 [ 事件] 索引標籤。
- 選取 [ 成功稽 核] 和 [失敗稽核] 複選框,然後選取 [ 確定]。 默認應啟用成功稽核和失敗稽核。
在AD FS 伺服器上啟用稽核屬性
重要
只有主要 AD FS 伺服器才需要此步驟。
開啟 PowerShell 視窗並執行下列命令:
Set-AdfsProperties -AuditLevel Verbose
默認會啟用「基本」稽核層級。 如需詳細資訊,請參閱 Windows Server 2016 中的 AD FS 稽核增強功能。
驗證詳細信息記錄
若要確認已啟用詳細信息記錄,請執行下列動作。
開啟 PowerShell 視窗並執行下列命令:
Get-AdfsProperties確認 Auditlevel 已設定為詳細資訊
確認AD FS服務帳戶稽核設定
- 移至 [安全性 設定\本機原則\用戶權力指派] 資料夾。 按兩下 [ 產生安全性稽核]。
- 在 [ 本機安全性設定 ] 索引標籤上 ,確認已列出 AD FS 服務帳戶 。 如果未列出,請選取 [新增使用者或群組],然後將AD FS服務帳戶新增至清單。 然後選取確定。
- 關閉 本機安全策略。
檢閱 AD FS 稽核記錄
啟用 AD FS 稽核記錄之後,您應該能夠使用事件查看器檢查 AD FS 稽核記錄。
開啟 [事件檢視器]。
移至 [Windows 記錄],然後選取 [ 安全性]。
在右窗格中,選取 [ 篩選目前記錄]。
針對 [ 事件來源],選取 [ AD FS 稽核]。
您可以在這裡取得 AD FS 事件的完整清單。
如需稽核記錄的詳細資訊,請參閱 作業問題。
![顯示 [篩選目前記錄] 視窗的螢幕快照,並已選取AD FS稽核。](media/how-to-connect-health-agent-install/adfsaudit.png)
警告
組策略可以停用 AD FS 稽核。 如果停用 AD FS 稽核,則無法使用有關登入活動的使用量分析。 請確定您沒有停用AD FS稽核的組策略。
下表提供對應至稽核層級事件的常見事件清單
基本稽核層級事件
| 識別碼 | 事件名稱 | 事件描述 |
|---|---|---|
| 1200 | AppTokenSuccessAudit | 同盟服務發出有效的令牌。 |
| 1201 | AppTokenFailureAudit | 同盟服務無法發出有效的令牌。 |
| 1202 | FreshCredentialSuccessAudit | 同盟服務已驗證新的認證。 |
| 1203 | FreshCredentialFailureAudit | 同盟服務無法驗證新的認證。 |
如需詳細資訊,請參閱這裡的AD FS事件完整清單。
詳細資訊稽核層級事件
| 識別碼 | 事件名稱 | 事件描述 |
|---|---|---|
| 299 | TokenIssuanceSuccessAudit | 已成功為信賴憑證者發出令牌。 |
| 403 | RequestReceivedSuccessAudit | 已收到 HTTP 要求。 請參閱稽核 510,其中包含標頭的相同實例標識碼。 |
| 410 | RequestContextHeadersSuccessAudit | 下列要求內容標頭存在 |
| 411 | SecurityTokenValidationFailureAudit | 令牌驗證失敗。 如需詳細資訊,請參閱內部例外狀況。 |
| 412 | AuthenticationSuccessAudit | 已成功驗證信賴憑證者 『%4』 類型 『%3』的令牌。 如需呼叫端身分識別,請參閱使用相同的實例標識碼稽核 501。 |
| 500 | IssuedIdentityClaims | 實例識別碼為 %1 的事件項目詳細資訊。 可能有更多事件具有相同的實例標識碼,其中包含詳細資訊。 |
| 501 | CallerIdentityClaims | 實例識別碼為 %1 的事件項目詳細資訊。 可能有更多事件具有相同的實例標識碼,其中包含詳細資訊。 |
如需詳細資訊,請參閱這裡的AD FS事件完整清單。
測試 Microsoft Entra 連線 Health 服務的連線能力
有時候,Microsoft Entra 連線 Health 代理程式會失去與 Microsoft Entra 連線 Health 服務的連線。 此連線中斷的原因可能包括網路問題、許可權問題,以及各種其他問題。
如果代理程式無法將數據傳送至 Microsoft Entra 連線 Health 服務超過兩小時,則入口網站中會出現下列警示:健全狀況服務 數據不是最新的。
您可以執行下列 PowerShell 命令,找出受影響的 Microsoft Entra 連線 Health 代理程式是否可以將數據上傳至 Microsoft Entra 連線 Health 服務:
Test-AzureADConnectHealthConnectivity -Role ADFS
參數 Role 目前採用下列值:
ADFSSyncADDS
注意
若要使用連線工具,您必須先註冊代理程式。 如果您無法完成代理程序註冊,請確定您符合 Microsoft Entra 連線 Health 的所有需求。 代理程式註冊期間預設會測試 連線 性。
使用 Microsoft Entra 連線 Health 監視 AD FS
AD FS 的警示
[Microsoft Entra 連線 健全狀況警示] 區段提供作用中警示的清單。 每個警示都包含相關資訊、解決步驟,以及相關文件的連結。
您可以連按兩下作用中或已解決的警示,以開啟新的刀鋒視窗,其中含有額外資訊、解決警示可以採取的步驟,以及相關文件的連結。 您也可以檢視過去已解決的警示的歷史資料。
![顯示 [Microsoft Entra] 連線 [警示] 頁面的螢幕快照,其中包含已選取警示,並顯示 [警示詳細數據] 視窗。](media/how-to-connect-health-adfs/alert2.png)
AD FS 的使用情況分析
Microsoft Entra 連線 Health Usage Analytics 會分析同盟伺服器的驗證流量。 您可連按兩下使用情況分析方塊來開啟使用情況分析刀鋒視窗,以顯示數個度量和群組。
注意
若要搭配 AD FS 使用使用情況分析,您必須確定已啟用 AD FS 稽核。 如需詳細資訊,請參閱 啟用 AD FS 的稽核。
![顯示 Microsoft Entra 連線 健全狀況[使用分析] 頁面的螢幕快照。](media/how-to-connect-health-adfs/report1.png)
若要選取其他度量,請指定時間範圍;若要變更群組,請在使用情況分析圖表上按一下滑鼠右鍵,並選取 [編輯圖表]。 接著,您可以指定時間範圍、選取不同的度量,以及變更群組。 您可以根據不同的「度量」檢視驗證流量的分佈,並使用下列各節所述的相關「分組依據」參數來為每個度量分組:
計量:要求總數 - AD FS 服務所處理的要求總數。
| Group By | 分組是什麼意思,為什麼分組很有用? |
|---|---|
| 全部 | 顯示所有 AD FS 伺服器所處理要求總數的計數。 |
| 申請 | 根據目標信賴憑證者,為要求總數分組。 這個分組對於了解哪個應用程式收到多少百分比的總流量非常有幫助。 |
| 伺服器 | 根據處理要求的伺服器,為要求總數分組。 這個分組對於了解總流量的負載分佈非常有幫助。 |
| Workplace Join | 根據要求是否來自已加入工作場所的裝置 (已知),為要求總數分組。 這個分組對於了解是否使用識別基礎結構未知的裝置存取您的資源非常有幫助。 |
| 驗證方法 | 根據用於驗證的驗證方法,為要求總數分組。 這個分組對於了解用於驗證的常見驗證方法非常有幫助。 以下是可能的驗證方法
如果同盟伺服器收到的要求含有 SSO Cookie,該要求就視為 SSO (單一登入)。 在這種情況下,如果 Cookie 有效,則不會要求使用者提供認證,並不間斷地存取應用程式。 如果您有多個同盟伺服器所保護的信賴憑證者,此行為非常常見。 |
| 網路位置 | 根據使用者的網路位置,為要求總數分組。 它可以是內部網路或外部網路。 這個分組對於了解流量百分比是來自內部網路還是外部網路非常有幫助。 |
度量:失敗要求總數 - 同盟服務所處理的失敗要求總數。 (此度量僅能在適用於 Windows Server 2012 R2 的 AD FS 上使用)
| Group By | 分組是什麼意思,為什麼分組很有用? |
|---|---|
| 錯誤類型 | 根據預先定義的錯誤類型,顯示錯誤數目。 這個分組對於了解常見的錯誤類型非常有幫助。
|
| 伺服器 | 依伺服器為錯誤分組。 此分組對於了解跨伺服器的錯誤分佈非常有幫助。 分佈不平均可能是伺服器處於錯誤狀態的指標。 |
| 網路位置 | 根據要求的網路位置 (內部網路與外部網路),為錯誤分組。 此分組對於了解失敗的要求類型非常有幫助。 |
| 申請 | 根據目標應用程式 (信賴憑證者),為失敗分組。 此分組對於了解哪個目標應用程式將看到最多錯誤數目非常有幫助。 |
度量︰使用者計數 - 使用 AD FS 主動驗證的唯一使用者平均數目
| Group By | 分組是什麼意思,為什麼分組很有用? |
|---|---|
| 全部 | 此度量會提供在所選時間配量內,使用同盟服務的使用者平均數目計數。 系統不會為使用者分組。 平均值取決於選取的時間配量。 |
| 申請 | 根據目標應用程式 (信賴憑證者),為使用者的平均數目分組。 此分組對於了解有多少使用者正在使用哪一個應用程式非常有幫助。 |
AD FS 的效能監視
Microsoft Entra 連線 Health 效能監視器 ing 提供計量的監視資訊。 選取 [監視] 方塊,以開啟內含度量詳細資訊的新刀鋒視窗。
![顯示 Microsoft Entra 連線 健全狀況效能 [監視] 頁面的螢幕快照。](media/how-to-connect-health-adfs/perf1.png)
選取刀鋒視窗頂端的 [篩選] 選項,您可以依伺服器篩選以查看個別伺服器的度量。 若要變更度量,請在監視刀鋒視窗底下的監視圖表上按一下滑鼠右鍵,然後選取 [編輯圖表] \(或選取 [編輯圖表] 按鈕)。 在開啟的新刀鋒視窗中,您可以從下拉式清單中選取其他計量,並指定檢視效能資料的時間範圍。
使用者名稱/密碼登入失敗的前 50 個使用者
AD FS 伺服器上驗證要求失敗的常見原因之一就是要求所提供的認證無效,也就是錯誤的使用者名稱或密碼。 使用者通常是因為密碼太複雜、忘記密碼或打錯字,才會發生這種情況。
但還是有其他原因會導致 AD FS 伺服器所處理的要求數量超出預期,例如:可快取使用者認證的應用程式和到期的認證,或嘗試以一系列的常見密碼登入帳戶的惡意使用者。 這兩個範例都是可能導致要求激增的正當理由。
ADFS 的 Microsoft Entra 連線 Health 提供關於前 50 名使用者因使用者名稱或密碼無效而嘗試登入失敗的報告。 處理伺服器陣列中所有 AD FS 伺服器所產生的稽核事件,即可達成此報告。
![顯示 [報告] 區段的螢幕快照,其中顯示過去 30 天內密碼嘗試錯誤的次數。](media/how-to-connect-health-adfs/report1a.png)
您可以在這份報告中輕鬆取得下列資訊︰
- 過去 30 天內使用者名稱/密碼錯誤的失敗要求總數
- 每天由於使用者名稱/密碼不正確而登入失敗的平均使用者人數。
按一下此組件即可前往可提供其他詳細資料的主要報告刀鋒視窗。 此刀鋒視窗包含一個提供趨勢資訊的圖形,以便建立有關使用者名稱或密碼錯誤之要求的基準。 此外,還提供過去一週內前 50 個使用者清單及其嘗試失敗次數。 注意過去一週內的前 50 個使用者可能有助於找出不正確密碼爆增情形。
此圖形可提供以下資訊:
- 每天由於使用者名稱/密碼不正確而登入失敗的總數。
- 每天登入失敗的唯一使用者總數。
- 最後一個要求的用戶端 IP 位址
此報表會提供下列資訊:
| 報告項目 | 描述 |
|---|---|
| 使用者識別碼 | 顯示所使用的使用者識別碼。 這個值是使用者所輸入的內容,在某些情況下是所使用的錯誤使用者識別碼。 |
| 嘗試失敗 | 顯示該特定使用者識別碼的嘗試失敗總數。 此資料表是依據最多失敗嘗試次數以遞減順序排序。 |
| 上次失敗 | 顯示上次發生失敗時的時間戳記。 |
| 上次失敗 IP | 顯示最後一個不正確要求的用戶端 IP 位址。 如果您在此值中看到多個 IP 位址,表示其中可能同時包含轉送用戶端 IP 與使用者上次嘗試的要求 IP。 |
注意
此報告會每隔 12 小時以該段時間內收集的新資訊自動進行更新。 因此,報告中不包含過去 12 小時內的登入嘗試。