Inicios de sesión de AD FS en Microsoft Entra ID con Connect Health - versión preliminar
Los inicios de sesión de AD FS ahora se pueden integrar en el informe de inicios de sesión de Azure Microsoft Entra mediante Connect Health. El informe de inicios de sesión de Microsoft Entra incluye información sobre cuándo los usuarios, las aplicaciones y los recursos administrados inician sesión en Microsoft Entra ID y acceden a los recursos.
El agente de Connect Health para AD FS correlaciona varios identificadores de evento de AD FS según la versión del servidor con el fin de proporcionar información sobre la solicitud y los detalles del error si se produce un error en la solicitud. Esta información se correlaciona con el esquema del informe de inicios de sesión de Microsoft Entra y se muestra en la experiencia de usuario del informe de inicios de sesión de Microsoft Entra. Junto con el informe, se proporciona una nueva secuencia de Log Analytics con los datos de AD FS y una nueva plantilla de libro de Azure Monitor. La plantilla se puede usar y modificar para hacer un análisis exhaustivo de escenarios como bloqueos de cuenta de AD FS, intentos con contraseñas incorrectas o picos de intentos inesperados de inicio de sesión.
Requisitos previos
- Microsoft Entra Connect Health para AD FS instalado y actualizado con la versión más reciente (3.1.95.0 o posterior).
- Rol de administrador global o lector de informes para ver los inicios de sesión de Microsoft Entra
¿Qué datos se muestran en el informe?
Los datos disponibles reflejan los mismos datos que se muestran para los inicios de sesión de Microsoft Entra. Hay cinco pestañas con información disponible según el tipo de inicio de sesión, de Microsoft Entra ID o AD FS. Connect Health correlaciona eventos de AD FS en función de la versión del servidor y los asocia con el esquema de AD FS.
Inicios de sesión de usuario
Cada pestaña de la hoja de inicios de sesión muestra los siguientes valores predeterminados:
- Fecha de inicio de sesión
- Id. de solicitud
- Nombre de usuario o identificador de usuario
- Estado del inicio de sesión
- Dirección IP del dispositivo usado para el inicio de sesión
- Identificador de inicio de sesión
Información sobre el método de autenticación
Los siguientes valores pueden mostrarse en la pestaña de autenticación. El método de autenticación se toma de los registros de auditoría de AD FS.
| Método de autenticación | Descripción |
|---|---|
| Formularios | Autenticación con nombre de usuario y contraseña |
| Windows | Autenticación integrada de Windows |
| Certificado | Autenticación mediante certificados SmartCard/VirtualSmart |
| WindowsHelloForBusiness | Este campo es para la autenticación con Windows Hello para empresas (Autenticación de Microsoft Passport). |
| Dispositivo | Se muestra si se ha seleccionado la autenticación de dispositivos como método "principal"de autenticación de la intranet o extranet y se lleva a cabo. En este escenario no hay un método de autenticación de usuarios por separado. |
| Federado | AD FS no efectuó la autenticación pero la transfirió a un proveedor de identidades de terceros. |
| SSO | Si se usó un token de inicio de sesión único, se mostrará este campo. Si el inicio de sesión único usa un proveedor MFA, se mostrará Multifactor. |
| Multifactor | Si un token de inicio de sesión único usa un proveedor MFA y se usó previamente para la autenticación, este campo mostrará Multifactor. |
| Azure MFA | Azure MFA se selecciona como proveedor de autenticación adicional en AD FS y se usó con fines de autenticación. |
| ADFSExternalAuthenticationProvider | Este campo se usa si un proveedor de autenticación de terceros se registró y usó para la autenticación. |
Otros detalles sobre AD FS
Los siguientes detalles está disponible para inicios de sesión de AD FS:
- Nombre del servidor
- Cadena de IP
- Protocolo
Habilitación de Log Analytics y Azure Monitor
Log Analytics se pueden habilitar para los inicios de sesión AD FS y usar con otros componentes integrados de Log Analytics, como Sentinel.
Nota:
Los inicios de sesión de AD FS pueden aumentar significativamente el costo de Log Analytics en función del número de inicios de sesión en AD FS en la organización. Para habilitar y deshabilitar Log Analytics, seleccione la casilla correspondiente para la secuencia.
Para habilitar Log Analytics para la característica, vaya a la hoja Log Analytics y seleccione la secuencia "ADFSSignIns". Esta selección permitirá que los inicios de sesión de AD FS se transfieran a Log Analytics.
Para acceder a la plantilla de libro actualizada de Azure Monitor, vaya a "Azure Monitor Templates" (Plantillas de Azure Monitor) y seleccione el libro de "inicios de sesión". Para más información sobre los libros, consulte Libros de Azure Monitor.
Preguntas más frecuentes
¿Cuáles son los tipos de inicios de sesión que puedo ver? El informe de inicio de sesión admite inicios de sesión a través de los protocolos O-Auth, WS-Fed, SAML y WS-Trust.
¿Cómo se muestran los distintos tipos de inicios de sesión en el informe de inicio de sesión? Si se realiza un inicio de sesión único de conexión directa, habrá una fila para el inicio de sesión con un id. de correlación. Si se efectúa la autenticación de un solo factor, se mostrarán dos filas con el mismo identificador de correlación, pero con dos métodos de autenticación diferentes (es decir, Formularios y SSO). En el caso de la autenticación multifactor, habrá tres filas con un identificador de correlación compartido y tres métodos de autenticación correspondientes (es decir, Formularios, AzureMFA y Multifactor). En este ejemplo concreto, la autenticación multifactor muestra que el inicio de sesión único usa un proveedor MFA.
¿Cuáles son los errores que puedo ver en el informe? Para obtener una lista completa de los errores relacionados con AD FS que aparecen en el informe de inicios de sesión y sus descripciones, consulte la información sobre códigos de error de la ayuda de AD FS.
Veo “00000000-0000-0000-0000-000000000000” en la sección “Usuario” de un inicio de sesión. ¿Qué significa? Si el inicio de sesión generó un error y el nombre principal de usuario que se probó no coincide con alguno existente, los campos "Usuario", "Nombre de usuario" e "Id. de usuario" serán "00000000-0000-0000-0000-000000000000" y el "identificador de inicio de sesión" se rellenará con el valor que el usuario probó. En estos casos, el usuario que intenta iniciar sesión no existe.
¿Cómo puedo correlacionar mis eventos locales con el informe de inicios de sesión de Microsoft Entra? El agente de Microsoft Entra Connect Health para AD FS correlaciona los identificadores de evento de AD FS que dependen de la versión del servidor. Los eventos estarán disponibles en el registro de seguridad de los servidores de AD FS.
¿Por qué veo NotSet o NotApplicable en el id. o el nombre de la aplicación para algunos inicios de sesión de AD FS? El informe de inicios de sesión de AD FS muestra los identificadores de OAuth en el campo Id. de aplicación para los inicios de sesión de OAuth. En WS-Fed, escenarios de inicio de sesión de WS-Trust, el id. de la aplicación será NotSet o NotApplicable y los id. de recursos y de usuario de confianza estarán presentes en el campo Id. de recurso.
¿Por qué veo los campos Id. de recurso y Nombre de recurso como "Not Set"? Los campos Identificador de recurso y Nombre de recurso tendrán el valor "No establecido" en algunos casos de error, como "Nombre de usuario y contraseña incorrectos" y en los inicios de sesión con error basados en WSTrust.
¿Hay más problemas conocidos con el informe en versión preliminar? El informe tiene un problema conocido que consiste en que el campo "Requisito de autenticación" de la pestaña "Información básica" se rellena como un valor de autenticación de un solo factor para los inicios de sesión de AD FS con independencia del inicio de sesión. Además, la pestaña detalles de autenticación muestra "Principal o secundaria" en el campo Requisito, y hay una corrección en curso para diferenciar los tipos de autenticación principal o secundaria.