AD FS-Anmeldungen in Microsoft Entra ID mit Connect Health – Vorschau
AD FS-Anmeldungen können nun mithilfe von Connect Health in den Microsoft Entra-Anmeldebericht integriert werden. Der Bericht über Microsoft Entra-Anmeldungen enthält Informationen dazu, wann sich Benutzer, Anwendungen und verwaltete Ressourcen bei Microsoft Entra ID anmelden und auf Ressourcen zugreifen.
Der Connect Health für AD FS-Agent korreliert mehrere Ereignis-IDs aus AD FS in Abhängigkeit von der Serverversion, um Informationen über die Anforderung und im Fall von Anforderungsfehlern Fehlerdetails bereitzustellen. Diese Informationen werden mit dem Microsoft Entra-Anmeldeberichtsschema korreliert und auf der Benutzeroberfläche des Microsoft Entra-Anmeldeberichts angezeigt. Neben dem Bericht ist ein neuer Log Analytics-Stream mit den AD FS-Daten und eine neue Azure Monitor-Arbeitsmappenvorlage verfügbar. Die Vorlage kann zur ausführlichen Analyse von Szenarien wie AD FS-Kontosperrungen, fehlerhaften Kennwortantwortversuchen und Spitzen unerwarteter Anmeldeversuche verwendet und geändert werden.
Voraussetzungen
- Microsoft Entra Connect Health für AD FS ist installiert und eine Upgrade auf die aktuelle Version (3.1.95.0 oder höher) wurde durchgeführt.
- Rolle oder „Berichtleseberechtigter“ zum Anzeigen der Microsoft Entra-Anmeldungen
Welche Daten werden im Bericht angezeigt?
Die verfügbaren Daten entsprechen den Daten, die für Microsoft Entra-Anmeldungen verfügbar sind. Je nach Anmeldetyp, Microsoft Entra ID oder AD FS, stehen fünf Registerkarten mit Informationen zur Verfügung. Connect Health korreliert Ereignisse aus AD FS in Abhängigkeit von der Serverversion und ordnet sie dem AD FS-Schema zu.
Benutzeranmeldungen
Jede Registerkarte auf dem Blatt „Anmeldungen“ enthält die unten aufgeführten Standardwerte:
- Sign-in date (Anmeldedatum)
- Anfrage-ID
- Benutzername oder Benutzer-ID
- Status der Anmeldung
- IP-Adresse des für die Anmeldung verwendeten Geräts
- Anmeldebezeichner
Informationen zur Authentifizierungsmethode
Die folgenden Werte können auf der Registerkarte „Authentifizierung" angezeigt werden. Die Authentifizierungsmethode wird aus den AD FS-Auditprotokollen übernommen.
| Authentifizierungsmethode | Beschreibung |
|---|---|
| Formulare | Authentifizierung mit Benutzername/Kennwort |
| Windows | Integrierte Windows-Authentifizierung |
| Zertifikat | Authentifizierung mit SmartCard-/VirtualSmart-Zertifikaten |
| WindowsHelloForBusiness | Dieses Feld ist für die Authentifizierung mit Windows Hello for Business bestimmt. (Microsoft Passport-Authentifizierung) |
| Sicherungsmedium | Wird angezeigt, wenn die Geräteauthentifizierung als „primäre“ Authentifizierung aus dem Intranet/Extranet ausgewählt ist und die Geräteauthentifizierung durchgeführt wird. In diesem Szenario gibt es keine separate Benutzerauthentifizierung. |
| Im Verbund | AD FS hat die Authentifizierung nicht durchgeführt, sondern an einen Identitätsanbieter eines Drittanbieters gesendet. |
| SSO | Wenn ein Single-Sign-On-Token verwendet wurde, ist dieses Feld sichtbar. Wenn das SSO über eine MFA verfügt, wird dies als „Multifaktor“ angezeigt. |
| Multifactor | Wenn ein Token für Single Sign-On eine MFA aufweist und für die Authentifizierung verwendet wurde, wird in diesem Feld „Multifaktor“ angezeigt. |
| Multi-Faktor-Authentifizierung in Microsoft Entra | Microsoft Entra Multi-Faktor-Authentifizierung wird als zusätzlicher Authentifizierungsanbieter in AD FS ausgewählt und wurde für die Authentifizierung verwendet. |
| ADFSExternalAuthenticationProvider | Dieses Feld wird angezeigt, wenn ein Drittanbieter für die Authentifizierung registriert und für die Authentifizierung verwendet wurde. |
Zusätzliche Details zu AD FS
Bei AD FS-Anmeldungen sind folgende Details verfügbar:
- Servername
- IP-Adresskette
- Protokoll
Aktivieren von Log Analytics und Azure Monitor
Log Analytics kann für AD FS-Anmeldungen aktiviert werden und mit sonstigen in Log Analytics integrierten Komponenten wie Sentinel verwendet werden.
Hinweis
Log Analytics-Kosten können sich durch AD FS-Anmeldungen deutlich erhöhen, je nachdem, wie viele Anmeldungen bei AD FS in Ihrer Organisation zu verzeichnen sind. Aktivieren oder deaktivieren Sie das Kontrollkästchen für den Stream, um Log Analytics zu aktivieren bzw. zu deaktivieren.
Um Log Analytics für die Funktion zu aktivieren, navigieren Sie zum Blatt „Log Analytics“, und wählen Sie den Stream „ADFSSignIns“ aus. Diese Auswahl ermöglicht es, dass AD FS-Anmeldungen in Log Analytics einfließen.
Um auf die aktualisierte Azure Monitor-Arbeitsmappenvorlage zuzugreifen, navigieren Sie zu „Azure Monitor-Vorlagen“, und wählen Sie die Arbeitsmappe „Anmeldungen“ aus. Weitere Informationen zu Arbeitsmappen finden Sie unter Azure Monitor-Arbeitsmappen.
Häufig gestellte Fragen
Welche Arten von Anmeldungen werden ggf. angezeigt? Der Anmeldebericht unterstützt Anmeldungen über die Protokolle O-Auth, WS-Fed, SAML und WS-Trust.
Wie werden verschiedene Anmeldetypen im Anmeldebericht angezeigt? Wenn eine nahtlose SSO-Anmeldung durchgeführt wird, gibt es eine Zeile für die Anmeldung mit einer Korrelations-ID. Bei einer Einzel-Faktor-Authentifizierung enthalten zwei Zeilen die gleiche Korrelations-ID, jedoch mit zwei verschiedenen Authentifizierungsmethoden (d. h. Forms, SSO). Bei der Multi-Faktor-Authentifizierung gibt es drei Zeilen mit einer gemeinsamen Korrelations-ID und drei entsprechenden Authentifizierungsmethoden (d. h. Forms, Microsoft Entra-Multi-Faktor-Authentifizierung, Multi-Faktor). In diesem Fall weist „Multifactor“ eine MFA für das einmalige Anmelden aus.
Welche Fehler werden im Bericht aufgeführt? Eine vollständige Liste mit Fehlern zu AD FS, die im Anmeldebericht und den entsprechenden Beschreibungen stehen können, finden Sie in der Referenz zu Fehlercodes in der AD FS-Hilfe.
Ich sehe „00000000-0000-0000-0000-000000000000“ im Abschnitt „Benutzer“ einer Anmeldung. Was bedeutet das? Wenn die Anmeldung fehlgeschlagen ist und der versuchte UPN nicht mit einem vorhandenen UPN übereinstimmt, werden in den Feldern „Benutzer“, „Benutzername“ und „Benutzer-ID“ „0000 0000-0000-0000-0000-0000-000000000000“ und die „Anmelde-ID“ wird mit dem von der Benutzerin bzw. dem Benutzer eingegebenen Wert aufgefüllt. In diesen Fällen existiert der Benutzer bzw. die Benutzerin, der bzw. die versucht, sich anzumelden, nicht.
Wie kann ich meine lokalen Ereignisse mit dem Microsoft Entra-Anmeldebericht korrelieren? Der Microsoft Entra Connect Health-Agent für AD FS korreliert Ereignis-IDs aus AD FS in Abhängigkeit von der Serverversion. Die Ereignisse sind im Sicherheitsprotokoll der AD FS-Server verfügbar.
Warum wird bei einigen AD FS-Anmeldungen „NotSet“ oder „NotApplicable“ in der Anwendungs-ID/-Name angezeigt? Im AD FS-Anmeldebericht werden OAuth-IDs im Feld „Anwendungs-ID“ für OAuth-Anmeldungen angezeigt. In den WS-Fed- und WS-Trust-Anmeldeszenarien ist die Anwendungs-ID „NotSet“ oder „NotApplicable“ und die Ressourcen-IDs und die Kennungen der vertrauenden Seite sind im Feld „Ressourcen-ID“ vorhanden.
Warum werden die Felder „Ressource-ID“ und „Ressourcenname“ als „Nicht festgelegt“ angezeigt? Die Felder „Ressource-ID“ und „Name“ werden in einigen Fehlerfällen als „Nicht festgelegt“ angezeigt, z. B. bei „Benutzername und Passwort falsch“ und bei fehlgeschlagenen WSTrust-basierten Anmeldungen.
Sind weitere Probleme mit dem Bericht in der Vorschau bekannt? Es ist ein Problem mit dem Bericht bekannt, bei dem das Feld „Authentifizierungsanforderung“ auf der Registerkarte „Grundlegende Informationen“ unabhängig von der Anmeldung als Einzel-Faktor-Authentifizierungswert für AD FS-Anmeldungen ausgefüllt wird. Außerdem wird auf der Registerkarte „Authentifizierungsdetails“ unter dem Feld „Anforderung“ der Wert „Primär oder sekundär“ angezeigt, wobei gerade eine Korrektur in Arbeit ist, um die primären oder sekundären Authentifizierungstypen zu unterscheiden.