Freigeben über


Microsoft Entra Connect Health-Agents für AD FS

In diesem Artikel erfahren Sie, wie Sie die Microsoft Entra Connect Health-Agents installieren und konfigurieren. Die folgende Dokumentation bezieht sich auf die Installation und Überwachung Ihrer AD FS-Infrastruktur mit Microsoft Entra Connect Health. Informationen zum Überwachen von Microsoft Entra Connect (Sync) mit Microsoft Entra Connect Health finden Sie unter Verwenden von Microsoft Entra Connect Health für die Synchronisierung. Informationen zum Überwachen von Active Directory Domain Services mit Microsoft Entra Connect Health finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD DS.

Erfahren Sie, wie Sie die Agents herunterladen.

Hinweis

Microsoft Entra Connect Health ist in der China Sovereign Cloud nicht verfügbar.

Anforderungen

In der folgenden Tabelle sind die Anforderungen für die Verwendung von Microsoft Entra Connect Health aufgeführt:

Anforderung Beschreibung
Sie verfügen über ein Microsoft Entra ID P1- oder P2-Abonnement. Microsoft Entra Connect Health ist ein Feature von Microsoft Entra ID P1 oder P2. Weitere Informationen finden Sie unter Registrieren für Microsoft Entra ID P1 oder P2.

Wenn Sie eine 30-tägige kostenlose Testversion nutzen möchten, navigieren Sie zu Aktivieren der Azure Active Directory Premium-Testversion.
Sie sind globaler Administrator von Microsoft Entra ID. Derzeit können nur Globale Administratorkonten Integritäts-Agents installieren und konfigurieren. Weitere Informationen finden Sie unter Verwalten Ihres Microsoft Entra-Verzeichnisses.

Mit der rollenbasierten Zugriffssteuerung von Azure (Role-Based Access Control, Azure RBAC) können Sie anderen Benutzern in Ihrer Organisation den Zugriff auf Microsoft Entra Connect Health gewähren. Weitere Informationen hierzu finden Sie unter Azure RBAC für Microsoft Entra Connect Health.

Wichtig: Verwenden Sie für die Installation der Agents ein Geschäfts-, Schul- oder Unikonto. Sie können kein Microsoft-Konto verwenden, um die Agents zu installieren. Weitere Informationen finden Sie unter Registrieren für Azure AD als Organisation.
Der Microsoft Entra Connect Health-Agent ist auf jedem Zielserver installiert. Die Connect Health-Agents müssen auf den Zielservern installiert und konfiguriert sein, damit sie Daten empfangen und Überwachungs- und Analysefunktionen bereitstellen können.

Beispiel: Um Daten aus Ihrer Active Directory-Verbunddienste-Infrastruktur (Active Directory Federation Services, AD FS) abrufen zu können, müssen Sie den Agent auf dem AD FS-Server und dem Webanwendungs-Proxyserver installieren. Ebenso müssen Sie den Agent auf den Domänencontrollern installieren, um Daten aus Ihrer lokalen AD Domain Services-Infrastruktur abzurufen.
Die Azure-Dienstendpunkte verfügen über ausgehende Verbindungen. Während der Installation und der Laufzeit erfordert der Agent Verbindungen mit den Endpunkten des Microsoft Entra Connect Health-Diensts. Wenn ausgehende Verbindungen durch Firewalls blockiert werden, fügen Sie die Endpunkte für ausgehende Verbindungen zu einer Zulassungsliste hinzu.
Ausgehende Verbindungen basieren auf IP-Adressen. Informationen zur Firewallfilterung auf der Grundlage von IP-Adressen finden Sie unter Azure-IP-Adressbereiche.
Die TLS-Überprüfung für ausgehenden Datenverkehr ist gefiltert oder deaktiviert. Beim Agent-Registrierungsschritt oder bei Datenuploads tritt möglicherweise ein Fehler auf, wenn auf der Netzwerkebene eine TLS-Überprüfung oder Beendigung für ausgehenden Datenverkehr erfolgt. Weitere Informationen finden Sie unter Einrichten der TLS-Überprüfung.
Firewallports auf dem Server für die Ausführung des Agents. Die folgenden Firewallports müssen offen sein, damit der Agent mit den Microsoft Entra Connect Health-Dienstendpunkten kommunizieren kann:
- TCP-Port 443
- TCP-Port 5671

Für die neueste Agent-Version ist Port 5671 nicht erforderlich. Aktualisieren Sie auf die neueste Version, sodass nur Port 443 erforderlich ist. Weitere Informationen finden Sie unter Erforderliche Ports und Protokolle für die Hybrid-Identität.
Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist, lassen Sie die angegebenen Websites zu. Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist, lassen Sie die folgenden Websites auf dem Server zu, auf dem Sie den Agent installieren:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
Der Verbundserver für Ihre Organisation, dem Microsoft Entra ID vertraut, z. B. https://sts.contoso.com.

Weitere Informationen finden Sie unter Konfigurieren von Internet Explorer. Wenn Sie in Ihrem Netzwerk einen Proxy verwenden, lesen Sie den Hinweis am Ende dieser Tabelle.
PowerShell, Version 5.0 oder höher, ist installiert. Windows Server 2016 enthält PowerShell, Version 5.0.

Wichtig

Unter Windows Server Core wird die Installation des Microsoft Entra Connect Health-Agents nicht unterstützt.

Hinweis

Wenn Sie über eine streng geschützte und eingeschränkte Umgebung verfügen, müssen Sie mehr als die in der Tabelle für die verstärkte Sicherheitskonfiguration für Internet Explorer aufgeführten URLs hinzufügen. Fügen Sie auch URLs hinzu, die in der Tabelle im nächsten Abschnitt aufgeführt sind.

Neue Versionen des Agents und automatisches Upgrade

Wenn eine neue Version des Integritäts-Agents veröffentlicht wird, werden alle vorhandenen installierten Agents automatisch aktualisiert.

Ausgehende Verbindungen zu den Azure-Dienstendpunkten

Während der Installation und zur Laufzeit ist für den Agent die Konnektivität mit den Microsoft Entra Connect Health-Dienstendpunkten erforderlich. Wenn ausgehende Verbindungen durch Firewalls blockiert werden, müssen Sie sicherstellen, dass die in der folgenden Tabelle aufgeführten URLs nicht standardmäßig blockiert werden.

Deaktivieren Sie nicht die Sicherheitsüberwachung oder die Überprüfung dieser URLs. Lassen Sie diese URLs stattdessen wie anderen Internetdatenverkehr zu.

Diese URLs ermöglichen die Kommunikation mit den Microsoft Entra Connect Health-Dienstendpunkten. Weiter unten in diesem Artikel erfahren Sie, wie Sie ausgehende Verbindungen mithilfe von Test-AzureADConnectHealthConnectivity testen.

Domänenumgebung Erforderliche Azure-Dienstendpunkte
Öffentlich - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net – Port: 5671 (Wenn 5671 blockiert ist, greift der Agent auf 443 zurück, es wird jedoch die Verwendung von 5671 empfohlen. Dieser Endpunkt ist in der neuesten Version des Agents nicht erforderlich.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Dieser Endpunkt wird nur zu Ermittlungszwecken während der Registrierung verwendet.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Dieser Endpunkt wird nur zu Ermittlungszwecken während der Registrierung verwendet.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Herunterladen der Agents

Installieren der Microsoft Entra Connect Health-Agents:

Installieren des Agents für AD FS

Hinweis

Ihr AD FS-Server sollte sich vom Synchronisierungsserver unterscheiden. Installieren Sie den AD FS-Agent nicht auf Ihrem Synchronisierungsserver.

Hinweis

Der Health-Agent für die Synchronisierung wird im Rahmen der Installation von Microsoft Entra Connect (Version 1.0.9125.0 oder höher) installiert. Wenn Sie versuchen, eine frühere Version des Health-Agents für AD FS auf dem Microsoft Entra Connect-Server zu installieren, wird eine Fehlermeldung angezeigt. Wenn Sie den Health-Agent für AD FS auf dem Computer installieren müssen, sollten Sie die neueste Version herunterladen und dann die Version deinstallieren, die während der Microsoft Entra Connect-Installation installiert wurde.

Stellen Sie vor dem Installieren des Agents sicher, dass der Hostname Ihres AD FS-Servers eindeutig und nicht im AD FS-Dienst vorhanden ist.

Um die Installation des Agents zu starten, doppelklicken Sie auf die EXE-Datei, die Sie heruntergeladen haben. Wählen Sie im ersten Dialogfeld die Option Installieren aus.

Screenshot, der das Installationsfenster für den Microsoft Entra Connect Health AD FS-Agent zeigt.

Melden Sie sich bei entsprechender Aufforderung mit einem Microsoft Entra-Konto an, das über Berechtigungen zum Registrieren des Agents verfügt. Standardmäßig verfügt das Hybrididentitätsadministratorkonto über die entsprechenden Berechtigungen.

Screenshot des Anmeldefensters für Microsoft Entra Connect Health AD FS.

Nachdem Sie sich angemeldet haben, wird der Installationsvorgang abgeschlossen, und Sie können das Fenster schließen.

Screenshot der Bestätigungsmeldung für die Installation des Microsoft Entra Connect Health AD FS-Agents.

An diesem Punkt sollten die Agent-Dienste automatisch zulassen, dass der Agent die erforderlichen Daten sicher in den Clouddienst hochladen kann.

Suchen Sie auf dem Server nach den folgenden Diensten, um sicherzustellen, dass der Agent installiert wurde. Wenn Sie die Konfiguration durchgeführt haben, sollten sie bereits ausgeführt werden. Andernfalls werden sie gestoppt, bis die Konfiguration abgeschlossen ist.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Screenshot, der Microsoft Entra Connect Health AD FS-Dienste.

Aktivieren der Überwachung für AD FS

Hinweis

Dieser Abschnitt gilt nur für AD FS-Server. Auf Webanwendungs-Proxyservern müssen diese Schritte nicht abgeschlossen werden.

Das Nutzungsanalyse-Feature muss Daten sammeln und analysieren, daher benötigt der Microsoft Entra Connect Health-Agent die in den AD FS-Überwachungsprotokollen enthaltenen Informationen. Diese Protokolle sind standardmäßig nicht aktiviert. Verwenden Sie die folgenden Verfahren, um auf Ihren AD FS-Servern die AD FS-Überwachung zu aktivieren und die AD FS-Überwachungsprotokolle zu ermitteln.

So aktivieren Sie die Überwachung für AD FS

  1. Öffnen Sie auf dem Startbildschirm die Komponente Server-Manager, und öffnen Sie dann Lokale Sicherheitsrichtlinie. Alternativ öffnen Sie auf der Taskleiste die Komponente Server-Manager, und wählen Sie dann Tools > Lokale Sicherheitsrichtlinie aus.

  2. Wechseln Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten. Doppelklicken Sie auf Generieren von Sicherheitsüberwachungen.

  3. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn das Konto nicht aufgeführt ist, wählen Sie Benutzer oder Gruppe hinzufügen aus, und fügen Sie der Liste das AD FS-Dienstkonto hinzu. Klicken Sie anschließend auf OK.

  4. Um die Überwachung zu aktivieren, öffnen Sie eine Eingabeaufforderung als Administrator und führen dann den folgenden Befehl aus: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Schließen Sie Lokale Sicherheitsrichtlinie.

    Wichtig

    Die verbleibenden Schritte müssen nur für primäre AD FS-Server ausgeführt werden.

Aktivieren von Überwachungseigenschaften auf dem AD FS-Server

  1. Öffnen Sie das Snap-In AD FS-Verwaltung. (Wählen Sie in Server-Manager die Optionen Tools>AD FS-Verwaltung aus.)
  2. Wählen Sie im Bereich Aktionen die Option Verbunddiensteigenschaften bearbeiten aus.
  3. Wählen Sie im Dialogfeld Verbunddiensteigenschaften die Registerkarte Ereignisse aus.
  4. Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen, und wählen Sie dann OK aus. Erfolgreiche Überprüfungen und Fehlerüberprüfungen sollten standardmäßig aktiviert sein.

Aktivieren von Überwachungseigenschaften auf dem AD FS-Server

Wichtig

Dieser Schritt ist nur für primäre AD FS-Server erforderlich.

  1. Öffnen Sie ein PowerShell-Fenster, und führen Sie den folgenden Befehl aus:

    Set-AdfsProperties -AuditLevel Verbose

Standardmäßig ist die Überwachungsebene „Basic“ aktiviert. Weitere Informationen finden Sie unter Optimierte AD FS-Überwachung unter Windows Server 2016.

Überprüfen der ausführlichen Protokollierung

Gehen Sie wie folgt vor, um zu überprüfen, ob die ausführliche Protokollierung aktiviert ist.

  1. Öffnen Sie ein PowerShell-Fenster, und führen Sie den folgenden Befehl aus:

    Get-AdfsProperties

  2. Vergewissern Sie sich, dass die Überwachungsebene auf „ausführlich“ festgelegt ist.

Überprüfen der Überwachungseinstellungen für ein AD FS-Dienstkonto

  1. Wechseln Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten. Doppelklicken Sie auf Generieren von Sicherheitsüberwachungen.
  2. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn das Konto nicht aufgeführt ist, wählen Sie Benutzer oder Gruppe hinzufügen aus, und fügen Sie der Liste das AD FS-Dienstkonto hinzu. Klicken Sie anschließend auf OK.
  3. Schließen Sie Lokale Sicherheitsrichtlinie.

Überprüfen der AD FS-Überwachungsprotokolle

Nach dem Aktivieren von AD FS-Überwachungsprotokollen sollten Sie die AD FS-Überwachungsprotokolle mithilfe der Ereignisanzeige überprüfen können.

  1. Öffnen Sie die Ereignisanzeige.

  2. Wechseln Sie zu Windows-Protokolle, und wählen Sie dann Sicherheit aus.

  3. Wählen Sie im rechten Bereich die Option Aktuelle Protokolle filtern aus.

  4. Wählen Sie für Ereignisquellen den Eintrag AD FS-Überwachung aus.

  5. Hier finden Sie eine vollständige Liste mit den AD FS-Ereignissen.

    Weitere Informationen zu Überwachungsprotokollen finden Sie unter Fragen zum Betrieb.

    Screenshot, der das Fenster „Aktuelles Protokoll filtern“ mit ausgewählter AD FS-Überwachung zeigt.

Warnung

Die AD FS-Überwachung kann mithilfe einer Gruppenrichtlinie deaktiviert werden. Wenn die AD FS-Überwachung deaktiviert ist, sind keine Nutzungsanalysen für Anmeldeaktivitäten verfügbar. Stellen Sie sicher, dass die AD FS-Überwachung nicht durch eine Gruppenrichtlinie deaktiviert wird.

Die folgenden Tabellen enthalten eine Liste allgemeiner Ereignisse, die Ereignissen auf Überwachungsebene entsprechen.

Ereignisse auf grundlegender Überwachungsebene
ID Veranstaltungsname Ereignisbeschreibung
1200 AppTokenSuccessAudit Der Verbunddienst hat ein gültiges Token ausgestellt.
1201 AppTokenFailureAudit Beim Ausstellen eines gültigen Tokens durch den Verbunddienst ist ein Fehler aufgetreten.
1202 FreshCredentialSuccessAudit Der Verbunddienst hat neue Anmeldeinformationen überprüft.
1203 FreshCredentialFailureAudit Das Überprüfen neuer Anmeldeinformationen durch den Verbunddienst ist fehlgeschlagen.

Weitere Informationen finden Sie in der vollständigen Liste von AD FS-Ereignissen.

Ereignisse auf ausführlicher Überwachungsebene
ID Veranstaltungsname Ereignisbeschreibung
299 TokenIssuanceSuccessAudit Ein Token wurde für die vertrauende Seite erfolgreich ausgestellt.
403 RequestReceivedSuccessAudit Eine HTTP-Anforderung wurde empfangen. Siehe Audit 510 mit derselben Instanz-ID für Header.
410 RequestContextHeadersSuccessAudit Die folgenden Anforderungskontextheader sind vorhanden.
411 SecurityTokenValidationFailureAudit Bei der Tokenüberprüfung ist ein Fehler aufgetreten. Weitere Informationen finden Sie in der inneren Ausnahme.
412 AuthenticationSuccessAudit Ein Token vom Typ „%3“ für die vertrauende Seite „%4“ wurde erfolgreich authentifiziert. Siehe Audit 501 mit derselben Instanz-ID für die Identität der aufrufenden Funktion.
500 IssuedIdentityClaims Weitere Informationen für den Ereigniseintrag mit der Instanz-ID „%1“. Möglicherweise gibt es weitere Ereignisse mit derselben Instanz-ID mit weiteren Informationen.
501 CallerIdentityClaims Weitere Informationen für den Ereigniseintrag mit der Instanz-ID „%1“. Möglicherweise gibt es weitere Ereignisse mit derselben Instanz-ID mit weiteren Informationen.

Weitere Informationen finden Sie in der vollständigen Liste von AD FS-Ereignissen.

Testen der Konnektivität mit dem Microsoft Entra Connect Health-Dienst

Gelegentlich geht die Konnektivität zwischen dem Microsoft Entra Connect Health-Agent und dem Microsoft Entra Connect Health-Dienst verloren. Mögliche Ursachen für diese Verbindungsunterbrechungen können Netzwerkprobleme, Berechtigungsprobleme und verschiedene andere Probleme sein.

Wenn der Agent für mehr als zwei Stunden keine Daten an den Microsoft Entra Connect Health-Dienst senden kann, wird im Portal die folgende Warnung angezeigt: Die Daten des Health-Dienstes sind nicht aktuell.

Durch Ausführen des folgenden PowerShell-Befehls können Sie herausfinden, ob der betroffene Microsoft Entra Connect Health-Agent Daten für den Microsoft Entra Connect Health-Dienst hochladen kann:

Test-AzureADConnectHealthConnectivity -Role ADFS

Der Parameter „Role“ akzeptiert derzeit die folgenden Werte:

  • ADFS
  • Sync
  • ADDS

Hinweis

Um das Konnektivitätstool verwenden zu können, müssen Sie zunächst den Agent registrieren. Wenn Sie die Agent-Registrierung nicht abschließen können, stellen Sie sicher, dass alle Anforderungen für Microsoft Entra Connect Health erfüllt sind. Die Konnektivität wird bei der Agent-Registrierung standardmäßig getestet.

Überwachen von AD FS mit Microsoft Entra Connect Health

Warnungen für AD FS

Im Abschnitt mit Microsoft Entra Connect Health-Warnungen wird eine Liste der aktiven Warnungen angezeigt. Jede Warnung umfasst relevante Informationen, Lösungsschritte und Links zur verwandten Dokumentation.

Sie können auf eine aktive oder gelöste Warnung doppelklicken, um ein neues Blatt mit weiteren Informationen, Schritten zum Lösen der Warnung und Links zu relevanter Dokumentation zu öffnen. Sie können außerdem Verlaufsdaten zu bereits behobenen Warnungen anzeigen.

Screenshot: Seite „Warnungen“ von Microsoft Entra Connect Health mit einer ausgewählten Warnung und dem geöffneten Fenster „Warnungsdetails

Nutzungsanalyse für AD FS

In der Microsoft Entra Connect Health-Nutzungsanalyse wird der Authentifizierungsdatenverkehr Ihrer Verbundserver analysiert. Sie können auf das Feld „Nutzungsanalyse“ doppelklicken, um das Blatt „Nutzungsanalyse“ zu öffnen, auf dem mehrere Metriken und Gruppierungen angezeigt werden.

Hinweis

Um die Nutzungsanalyse mit AD FS verwenden zu können, müssen Sie sicherstellen, dass die AD FS-Überwachung aktiviert ist. Weitere Informationen finden Sie unter Aktivieren der Überwachung für AD FS.

Screenshot: Seite „Nutzungsanalyse“ von Microsoft Entra Connect Health

Um zusätzliche Metriken auszuwählen, einen Zeitraum anzugeben oder die Gruppierung zu ändern, klicken Sie mit der rechten Maustaste auf das Diagramm zur Nutzungsanalyse und wählen „Diagramm bearbeiten“. Anschließend können Sie den Zeitraum angeben, eine andere Metrik auswählen und die Gruppierung ändern. Sie können die Verteilung des Authentifizierungsdatenverkehrs basierend auf verschiedenen Metriken anzeigen und jede Metrik über die relevanten Parameter gruppieren. Diese Parameter werden im folgenden Abschnitt beschrieben:

Metrik: Anforderungen insgesamt: Gibt die Gesamtzahl von Anforderungen an, die von AD FS-Servern verarbeitet wurden.

Gruppieren nach Bedeutung und Nutzen der Gruppierung
All Zeigt die Gesamtzahl von Anforderungen an, die von allen AD FS-Servern verarbeitet wurden.
Application Gruppiert die Gesamtzahl von Anforderungen basierend auf der Zielanwendung (vertrauende Seite). Diese Gruppierung ist nützlich, wenn Sie die prozentuale Verteilung des gesamten Datenverkehrs auf die verschiedenen Anwendungen anzeigen möchten.
Server Gruppiert die Gesamtzahl von Anforderungen basierend auf dem Server, der die Anforderung verarbeitet hat. Diese Gruppierung ist nützlich, um die Lastverteilung für den gesamten Datenverkehr anzuzeigen.
In den Arbeitsplatz eingebunden Gruppiert die Gesamtzahl von Anforderungen danach, ob sie von Geräten stammen, die mit einem Arbeitsbereich verknüpft (bekannt) sind. Diese Gruppierung ist nützlich, wenn auf Ihre Ressourcen über Geräte zugegriffen wird, die der Identitätsinfrastruktur unbekannt sind.
Authentifizierungsmethode Gruppiert die Gesamtzahl von Anforderungen basierend auf der Authentifizierungsmethode. Diese Gruppierung ist nützlich, wenn Sie wissen möchten, welche Authentifizierungsmethode in der Regel für die Authentifizierung verwendet wird. Folgende Authentifizierungsmethoden sind möglich:
  1. Integrierte Windows-Authentifizierung (Windows)
  2. Formularbasierte Authentifizierung (Forms)
  3. Einmaliges Anmelden (SSO)
  4. X509-Zertifikatauthentifizierung (Zertifikat)

  5. Wenn die Verbundserver die Anforderung mit einem SSO-Cookie empfangen, wird diese Anforderung als SSO-Anforderung eingestuft. In diesen Fällen wird, sofern es sich um ein gültiges Cookie handelt, der Benutzer nicht zur Eingabe von Anmeldeinformationen aufgefordert, sondern erhält nahtlos Zugriff auf die Anwendung. Dieses Verhalten ist üblich, wenn mehrere vertrauende Seiten von den Verbundservern geschützt werden.
Netzwerkadresse Gruppiert die Gesamtzahl von Anforderungen basierend auf der Netzwerkadresse des Benutzers. Dies kann entweder ein Intranet oder Extranet sein. Diese Gruppierung ist nützlich, wenn Sie die prozentuale Verteilung des eingehenden Datenverkehrs für Intranet und Extranet anzeigen möchten.

Metrik: Anforderungen mit Fehlern gesamt: Die Gesamtzahl von Anforderungen mit Fehlern, die vom Verbunddienst verarbeitet wurden. (Diese Metrik steht nur in AD FS für Windows Server 2012 R2 zur Verfügung.)

Gruppieren nach Bedeutung und Nutzen der Gruppierung
Fehlertyp Zeigt die Anzahl von Fehlern basierend auf den vordefinierten Fehlertypen an. Diese Gruppierung ist nützlich, um die allgemeinen Arten von Fehlern zu verstehen.
  • Falscher Benutzername oder falsches Kennwort: Fehler, die durch einen falschen Benutzernamen oder ein falsches Kennwort verursacht wurden
  • „Extranetsperrung“: Fehler durch Anforderungen von einem Benutzer, der für das Extranet gesperrt wurde.
  • „Kennwort abgelaufen“: Fehler durch Benutzer, die sich mit einem abgelaufenen Kennwort anmelden
  • „Konto deaktiviert“: Fehler durch Benutzer, die sich mit einem deaktivierten Konto anmelden
  • „Authentifizierung mit Gerät“: Fehler durch Benutzer, bei denen Probleme bei der Geräteauthentifizierung auftreten
  • „Authentifizierung mit Benutzerzertifikat“: Fehler durch Benutzer, bei denen die Authentifizierung aufgrund eines ungültigen Zertifikats nicht möglich ist
  • „MFA“: Fehler durch Benutzer*innen, die sich nicht per Multi-Faktor-Authentifizierung authentifizieren können.
  • „Andere Anmeldeinformationen“ und „Ausstellungsautorisierung“: Fehler aufgrund von Autorisierungsproblemen
  • „Ausstellungsdelegierung“: Fehler aufgrund von Problemen bei der Ausstellungsdelegierung
  • „Tokenannahme“: Fehler durch das Ablehnen des Tokens von externen Identitätsanbietern durch AD FS
  • „Protokoll“: Fehler aufgrund von Protokollproblemen
  • „Unbekannt“: Fängt alle weiteren Fehler ab. Alle anderen Fehler, die nicht in die definierten Kategorien fallen.
Server Gruppiert die Fehler basierend auf dem Server. Diese Gruppierung ist nützlich, um die Fehlerverteilung auf die Server anzuzeigen. Eine ungleichmäßige Verteilung könnte darauf hinweisen, dass sich ein Server in fehlerhaftem Zustand befindet.
Netzwerkadresse Gruppiert die Fehler basierend auf der Netzwerkadresse der Anforderungen (Intranet oder Extranet). Diese Gruppierung ist nützlich, um die Art der Anforderungen herauszufinden, für die Fehler auftreten.
Application Gruppiert die Fehler basierend auf der Zielanwendung (vertrauende Seite). Mithilfe dieser Gruppierung können Sie anzeigen, für welche Zielanwendung die meisten Fehler auftreten.

Metrik: Benutzeranzahl: Durchschnittliche Anzahl von eindeutigen Benutzern, die aktiv eine Authentifizierung mit AD FS durchführen

Gruppieren nach Bedeutung und Nutzen der Gruppierung
All Mit dieser Metrik wird die durchschnittliche Anzahl von Benutzern bereitgestellt, die den Verbunddienst im ausgewählten Zeitraum verwendet haben. Die Benutzer werden nicht gruppiert.
Die durchschnittliche Anzahl richtet sich nach dem ausgewählten Zeitraum.
Application Gruppiert die durchschnittliche Anzahl von Benutzern basierend auf der Zielanwendung (vertrauende Seite). Über diese Gruppierung können Sie anzeigen, wie viele Benutzer welche Anwendung nutzen.

Leistungsüberwachung für AD FS

Die Microsoft Entra Connect Health-Leistungsüberwachung liefert Überwachungsinformationen zu verschiedenen Metriken. Wenn Sie das Kontrollkästchen aktivieren, wird ein neues Blatt mit ausführlichen Informationen zu den Metriken geöffnet.

Screenshot: Seite „Leistungsüberwachung“ von Microsoft Entra Connect Health

Wenn Sie die Filteroption oben im Blatt auswählen, können Sie eine Filterung nach Server vornehmen, um Metriken zu einzelnen Servern anzuzeigen. Um Metriken zu ändern, klicken Sie mit der rechten Maustaste auf das Überwachungsdiagramm unterhalb des Überwachungsblatts und klicken dann auf „Diagramm bearbeiten“ (oder wählen Sie die Schaltfläche „Diagramm bearbeiten“). Auf dem dann geöffneten neuen Blatt können Sie in der Dropdownliste zusätzliche Metriken auswählen und einen Zeitbereich für die Anzeige von Leistungsdaten angeben.

50 Benutzer mit den meisten fehlgeschlagenen Anmeldungen aufgrund eines falschen Benutzernamens/Kennworts

Einer der häufigsten Gründe für das Fehlschlagen von Authentifizierungsanforderungen bei einem AD FS-Server ist die Verwendung ungültiger Anmeldeinformationen, d. h. eines falschen Benutzernamens oder Kennworts. Dies passiert Benutzern normalerweise aufgrund von komplexen Kennwörtern, vergessenen Kennwörtern oder Schreibfehlern.

Es gibt jedoch weitere Gründe, die zu einer unerwartet hohen Anzahl von Anforderungen bei Ihren AD FS-Servern führen können, etwa von einer Anwendung zwischengespeicherte abgelaufene Benutzeranmeldeinformationen oder ein böswilliger Benutzer, der versucht, sich mit einer Reihe von bekannten Kennwörtern bei einem Konto anzumelden. Diese beiden Beispiele sind plausible Gründe für einen Anstieg der Anforderungsanzahl.

Microsoft Entra Connect Health für AD FS bietet einen Bericht über die 50 Benutzer*innen, bei denen Anmeldeversuche am häufigsten aufgrund ungültiger Benutzernamen oder Kennwörter nicht erfolgreich sind. Zur Erstellung dieses Berichts werden die von allen AD FS-Servern in den Farmen generierten Überwachungsereignisse verarbeitet.

Screenshot mit dem Abschnitt „Berichte“ und der Anzahl der Anmeldeversuche mit ungültigen Kennwörtern in den letzten 30 Tagen

In diesem Bericht können Sie ganz einfach auf die folgenden Informationen zugreifen:

  • Gesamtanzahl fehlgeschlagener Anforderungen mit falschem Benutzernamen/Kennwort in den letzten 30 Tagen
  • Durchschnittliche Anzahl von Benutzern pro Tag, bei denen die Anmeldung wegen eines ungültigen Benutzernamens/Kennworts fehlschlägt.

Wenn Sie auf diesen Bereich klicken, gelangen Sie zum Hauptberichtblatt, das zusätzliche Details enthält. Dieses Blatt enthält einen Graphen mit Trendinformationen zum Ermitteln einer Baseline für Anforderungen mit falschem Benutzernamen oder Kennwort. Außerdem wird die Liste mit den 50 Benutzern mit den meisten Fehlversuchen während der letzten Woche angegeben. Beachten Sie, dass die 50 Benutzer der letzten Woche zur Identifizierung von Spitzenwerten bei den fehlerhaften Kennwörtern beitragen können.

Der Graph zeigt die folgenden Informationen:

  • Gesamtanzahl fehlgeschlagener Anmeldeversuche aufgrund eines ungültigen Benutzernamens/Kennworts pro Tag
  • Gesamtanzahl eindeutiger Benutzer, bei denen die Anmeldung fehlgeschlagen ist, pro Tag.
  • Client-IP-Adresse der letzten Anforderung

Microsoft Entra Connect Health-Portal

Der Bericht enthält die folgenden Informationen:

Berichtselement BESCHREIBUNG
Benutzer-ID Die verwendete Benutzer-ID. Dies ist der Wert mit der Eingabe des Benutzers, also in einigen Fällen die Verwendung der falschen Benutzer-ID.
Fehlgeschlagene Anmeldeversuche Die Gesamtanzahl fehlgeschlagener Anmeldeversuche für die jeweilige Benutzer-ID. Die Tabelle ist nach der höchsten Anzahl fehlgeschlagener Versuche in absteigender Reihenfolge sortiert.
Letzter Fehler Zeigt den Zeitstempel des letzten Fehlers an.
Letzte Fehler-IP-Adresse Zeigt die Client-IP-Adresse der letzten fehlerhaften Anforderung an. Sollten für diesen Wert mehrere IP-Adressen angezeigt werden, enthält er möglicherweise die Forward-Client-IP-Adresse sowie die IP-Adresse des letzten Anforderungsversuchs des Benutzers.

Hinweis

Der Bericht wird automatisch alle zwölf Stunden mit den neuen gesammelten Informationen aktualisiert. Anmeldeversuche innerhalb der letzten 12 Stunden sind daher unter Umständen nicht im Bericht enthalten.