Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de la implementación de Protección con contraseña de Microsoft Entra, la supervisión y los informes son tareas esenciales. En este artículo se detallan las distintas técnicas de supervisión, como dónde cada servicio registra información y cómo informar sobre el uso de la protección con contraseña de Microsoft Entra.
La supervisión y los informes se realizan mediante mensajes de registro de eventos o mediante la ejecución de cmdlets de PowerShell. Los servicios del agente de controlador de dominio y de proxy registran mensajes en el registro de eventos. Todos los cmdlets de PowerShell que se describe a continuación solo están disponibles en el servidor proxy (consulte el módulo de PowerShell AzureADPasswordProtection). El software del agente de DC no instala un módulo de PowerShell.
Registro de eventos del agente de controlador de dominio
En cada controlador de dominio, el software de servicio del agente del controlador de dominio escribe los resultados de cada operación de validación de contraseña individual (y otros estados) en un registro de eventos local.
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
El registro de administración del agente de controlador de dominio es la principal fuente de información de cómo se comporta el software.
Tenga en cuenta que el registro de seguimiento está desactivado de forma predeterminada.
Los eventos registrados por los distintos componentes del agente DC se encuentran dentro de los siguientes intervalos:
| Componente | Intervalo de identificadores de evento |
|---|---|
| DLL de filtro de contraseña del agente de controlador de dominio | 10000-19999 |
| Proceso de hospedaje del servicio de agente de controlador de dominio | 20000-29999 |
| Lógica de validación de directivas de servicio del agente de controlador de dominio | 30000-39999 |
Registro de eventos de administración del agente de controlador de dominio
Eventos de resultado de validación de contraseña
En cada controlador de dominio, el software de servicio del agente de controlador de dominio escribe los resultados de cada validación de contraseña individual en el registro de eventos de administración del agente de controlador de dominio.
Para una operación de validación de contraseñas correcta se registra, por lo general, un evento desde la DLL de filtro de contraseña del agente de controlador de dominio. Si se producen errores durante la validación, se registrarán, por lo general, dos eventos, uno desde el servicio de agente de controlador de dominio y otro desde la DLL de filtro de contraseña de este agente.
Se registran eventos discretos para capturar estas situaciones, en función de los siguientes factores:
- Indica si se va a establecer o cambiar una contraseña determinada.
- Si se ha superado o no la validación de una contraseña determinada.
- Indica si se produjo un error en la validación debido a la directiva global de Microsoft, a la directiva de la organización o a una combinación.
- Indica si el modo de auditoría solo está activado o desactivado actualmente para la directiva de contraseña actual.
Los eventos clave relacionados con la validación de contraseñas son los siguientes:
| Evento | Cambio de contraseña | Contraseña establecida |
|---|---|---|
| Pass | 10014 | 10015 |
| Fallo (debido a la política de contraseñas del cliente) | 10016, 30002 | 10017, 30003 |
| Error (debido a la directiva de contraseña de Microsoft) | 10016, 30004 | 10017, 30005 |
| Error (debido a directivas combinadas de contraseñas de cliente y Microsoft) | 10016, 30026 | 10017, 30027 |
| Error (debido al nombre de usuario) | 10016, 30021 | 10017, 30022 |
| Superó la fase de solo auditoría (la directiva de contraseñas del cliente habría generado errores) | 10024, 30008 | 10025, 30007 |
| Superó la fase de solo auditoría (la directiva de contraseñas de Microsoft habría generado errores) | 10024, 30010 | 10025, 30009 |
| Superó la fase de solo auditoría (las directivas de contraseña de Microsoft y del cliente combinadas habrían generado errores) | 10024, 30028 | 10025, 30029 |
| Superó la fase de solo auditoría (se habría generado un error debido a un nombre de usuario) | 10016, 30024 | 10017, 30023 |
Los casos de la tabla anterior que hacen referencia a "directivas combinadas" se refieren a situaciones en las que se encontró que la contraseña de un usuario contenía al menos un token de la lista de contraseñas prohibidas de Microsoft y la lista de contraseñas prohibidas del cliente.
Los casos de la tabla anterior que hacen referencia a "nombre de usuario" se refieren a situaciones en las que se encontró la contraseña de un usuario para contener el nombre de cuenta del usuario o uno de los nombres descriptivos del usuario. Cualquiera de los dos escenarios hará que se rechace la contraseña del usuario cuando la directiva se establezca en Forzar, o que se supere si la directiva está establecida en modo Auditar.
Cuando se registra un par de eventos juntos, ambos eventos se asocian explícitamente al tener el mismo CorrelationId.
Informes de resumen de validación de contraseñas mediante PowerShell
El Get-AzureADPasswordProtectionSummaryReport cmdlet se puede usar para generar una vista de resumen de la actividad de validación de contraseñas. Una salida de ejemplo de este cmdlet es la siguiente:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
El ámbito de los informes del cmdlet puede ser influenciado mediante el uso de uno de los parámetros –Forest, -Domain o –DomainController. No especificar un parámetro implica –Forest.
Nota:
Si solo instala el agente de controlador de dominio en un controlador de dominio, Get-AzureADPasswordProtectionSummaryReport solo leerá eventos de ese controlador de dominio. Para obtener eventos de varios controladores de dominio, necesitará que el agente de controlador de dominio esté instalado en cada uno de ellos.
El cmdlet Get-AzureADPasswordProtectionSummaryReport funciona mediante la consulta del registro de eventos de administración del agente de controlador de dominio y el posterior recuento del número total de eventos correspondiente a cada categoría de resultados mostrada. La tabla siguiente contiene las asignaciones entre cada resultado y su identificador de evento correspondiente:
| Propiedad Get-AzureADPasswordProtectionSummaryReport | Id. de evento correspondiente |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| CambiosDeContraseñaRechazados | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| ErroresDeCambioDeContraseña | 10012 |
| ErroresDeEstablecimientoDeContraseña | 10013 |
Tenga en cuenta que el Get-AzureADPasswordProtectionSummaryReport cmdlet se incluye en el formulario de script de PowerShell y, si es necesario, se puede hacer referencia directamente a este en la siguiente ubicación:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Nota:
Este cmdlet funciona abriendo una sesión de PowerShell en cada controlador de dominio. Para poder realizarse correctamente, la compatibilidad con sesiones remotas de PowerShell debe estar habilitada en cada controlador de dominio y el cliente debe tener privilegios suficientes. Para obtener más información sobre los requisitos de sesión remota de PowerShell, ejecute "Get-Help about_Remote_Troubleshooting" en una ventana de PowerShell.
Nota:
Este cmdlet funciona mediante la consulta remota del registro de eventos de administración de cada servicio de agente de controlador de dominio. Si los registros de eventos contienen un gran número de eventos, el cmdlet puede tardar mucho tiempo en completarse. Además, las consultas de red masivas de grandes conjuntos de datos pueden afectar al rendimiento del controlador de dominio. Por lo tanto, este cmdlet debe usarse cuidadosamente en entornos de producción.
Mensajes de registro de eventos de ejemplo
Id. de evento 10014 (cambio correcto de contraseña)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Id. de evento 10017 (cambio de contraseña con error):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Id. de evento 30003 (cambio de contraseña con error):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Id. de evento 10024 (contraseña aceptada debido a la directiva en modo de solo auditoría)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Id. de evento 30008 (contraseña aceptada debido a la directiva en modo de solo auditoría)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Id. de evento 30001 (contraseña aceptada debido a que no hay ninguna directiva disponible)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
Id. de evento 30006 (nueva directiva que se está aplicando)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Id. de evento 30019 (La protección con contraseña de Microsoft Entra está deshabilitada)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Registro operativo del agente de controlador de dominio
El servicio del agente DC también registrará eventos relacionados con las operaciones en el registro siguiente:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Registro de seguimiento del agente de controlador de dominio
El servicio del agente de controlador de dominio también puede registrar eventos de seguimiento de nivel de depuración detallado en el registro siguiente:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
El registro de seguimiento está deshabilitado de forma predeterminada.
Advertencia
Cuando está habilitado, el registro de seguimiento recibe un gran volumen de eventos y puede afectar al rendimiento del controlador de dominio. Por lo tanto, este registro mejorado solo debe habilitarse cuando un problema requiere una investigación más profunda y, a continuación, solo durante un período mínimo de tiempo.
Registro de texto del agente de controlador de dominio
El servicio del agente de controlador de dominio puede configurarse para escribir en un registro de texto estableciendo el valor de registro siguiente:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
El registro de texto está deshabilitado de forma predeterminada. Se requiere un reinicio del servicio del agente de DC para que los cambios en este valor surtan efecto. Cuando esté habilitado, el servicio del agente del controlador de dominio escribirá en un archivo de registro ubicado en:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Sugerencia
El registro de texto recibe las mismas entradas de nivel de depuración que se pueden registrar en el registro de seguimiento, pero suelen tener un formato más fácil para revisar y analizar.
Advertencia
Cuando está habilitado, este registro recibe un gran volumen de eventos y puede afectar al rendimiento del controlador de dominio. Por lo tanto, este registro mejorado solo debe habilitarse cuando un problema requiere una investigación más profunda y, a continuación, solo durante un período mínimo de tiempo.
Supervisión del rendimiento del agente de controlador de dominio
El software del servicio de agente de controlador de dominio instala un objeto de contador de rendimiento denominado Protección con contraseña de Microsoft Entra. Los siguientes contadores de rendimiento están disponibles actualmente:
| Nombre del contador de rendimiento | Descripción |
|---|---|
| Contraseñas procesadas | Este contador muestra el número total de contraseñas procesadas (aceptadas o rechazadas) desde el último reinicio. |
| Contraseñas aceptadas | Este contador muestra el número total de contraseñas que se aceptaron desde el último reinicio. |
| Contraseñas rechazadas | Este contador muestra el número total de contraseñas rechazadas desde el último reinicio. |
| Solicitudes de filtro de contraseña en curso | Este contador muestra el número de solicitudes de filtro de contraseña actualmente en curso. |
| Solicitudes máximas de filtro de contraseña | Este contador muestra el número máximo de solicitudes de filtro de contraseña simultáneas desde el último reinicio. |
| Errores de solicitud de filtro de contraseña | Este contador muestra el número total de solicitudes de filtro de contraseña que no se pudieron realizar debido a un error desde el último reinicio. Se pueden producir errores si el servicio de agente de controlador de dominio de protección con contraseña de Microsoft Entra no se ejecuta. |
| Solicitudes de filtro de contraseñas por segundo | Este contador muestra la velocidad a la que se procesan las contraseñas. |
| Tiempo de procesamiento de solicitudes de filtro de contraseña | Este contador muestra el tiempo medio necesario para procesar una solicitud de filtro de contraseña. |
| Tiempo máximo de procesamiento de solicitudes de filtro de contraseña | Este contador muestra el tiempo máximo de procesamiento de solicitudes de filtro de contraseña desde el último reinicio. |
| Contraseñas que se aceptan debido al modo de auditoría | Este contador muestra el número total de contraseñas que normalmente se habrían rechazado, pero se aceptaron porque la directiva de contraseñas estaba configurada para estar en modo auditoría (desde el último reinicio). |
Detección del agente de controlador de dominio
El Get-AzureADPasswordProtectionDCAgent cmdlet se puede usar para mostrar información básica sobre los distintos agentes DC que se ejecutan en un dominio o bosque. Esta información se recupera de los objetos serviceConnectionPoint registrados por los servicios de agente de controlador de dominio en ejecución.
Una salida de ejemplo de este cmdlet es la siguiente:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
Cada servicio de agente de controlador de dominio actualiza las diversas propiedades una vez cada hora aproximadamente. Los datos siguen estando sujetos a la latencia de replicación de Active Directory.
El ámbito de la consulta del cmdlet puede verse afectado mediante los parámetros –Forest o –Domain.
Si el valor HeartbeatUTC se queda obsoleto, puede ser indicativo de que el agente de controlador de dominio de protección con contraseña de Microsoft Entra de dicho controlador de dominio no se está ejecutando o de que la máquina se ha degradado y ya no es un controlador de dominio.
Si el valor de PasswordPolicyDateUTC se vuelve obsoleto, puede ser un síntoma de que el agente del controlador de dominio de protección de contraseñas de Microsoft Entra en esa máquina no está funcionando correctamente.
Nueva versión del agente DC disponible
El servicio del agente de controlador de dominio registrará un evento de advertencia 30034 en el registro operativo al detectar que hay disponible una versión más reciente del software del agente de controlador de dominio, por ejemplo:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
El evento anterior no especifica la versión del software más reciente. Deberías ir al enlace en el mensaje del evento para obtener esa información.
Nota:
A pesar de las referencias a "autoupgrade" en el mensaje de evento anterior, el software del agente DC no admite actualmente esta funcionalidad.
Registro de eventos del servicio proxy
El servicio proxy emite un conjunto mínimo de eventos a los siguientes registros de eventos:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Tenga en cuenta que el registro de seguimiento está desactivado de forma predeterminada.
Advertencia
Cuando está habilitado, el registro de seguimiento recibe un gran volumen de eventos y esto puede afectar al rendimiento del host de proxy. Por lo tanto, este registro solo debe habilitarse cuando un problema requiere una investigación más profunda y, a continuación, solo durante un período mínimo de tiempo.
Los distintos componentes del proxy registran los eventos mediante los siguientes intervalos:
| Componente | Intervalo de identificadores de evento |
|---|---|
| Proceso de hospedaje del servicio proxy | 10000-19999 |
| Lógica comercial del núcleo del servicio proxy | 20000-29999 |
| Cmdlets de PowerShell | 30000-39999 |
Registro de texto del servicio proxy
El servicio proxy se puede configurar para escribir en un registro de texto estableciendo el siguiente valor del Registro:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1 (REG_DWORD value)
El registro de texto está deshabilitado de forma predeterminada. Se requiere un reinicio del servicio proxy para que los cambios en este valor surtan efecto. Cuando esté habilitado, el servicio proxy escribirá en un archivo de registro ubicado en:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Sugerencia
El registro de texto recibe las mismas entradas de nivel de depuración que se pueden registrar en el registro de seguimiento, pero suelen tener un formato más fácil para revisar y analizar.
Advertencia
Cuando está habilitado, este registro recibe un gran volumen de eventos y puede afectar al rendimiento de la máquina. Por lo tanto, este registro mejorado solo debe habilitarse cuando un problema requiere una investigación más profunda y, a continuación, solo durante un período mínimo de tiempo.
Registro del cmdlet de PowerShell
Los cmdlets de PowerShell que dan como resultado un cambio de estado (por ejemplo, Register-AzureADPasswordProtectionProxy) normalmente registrarán un evento de resultado en el registro operativo.
Además, la mayoría de los cmdlets de PowerShell de la protección con contraseña de Microsoft Entra escribirán en un registro de texto que se encuentra en:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Si se produce un error de cmdlet y la causa y\o solución no es evidente, también se pueden consultar estos registros de texto.
Detección de proxy
El Get-AzureADPasswordProtectionProxy cmdlet se puede usar para mostrar información básica sobre los distintos servicios proxy de protección con contraseña de Microsoft Entra que se ejecutan en un dominio o bosque. Esta información se recupera de los objetos serviceConnectionPoint registrados por los servicios proxy en ejecución.
Una salida de ejemplo de este cmdlet es la siguiente:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
Cada servicio proxy actualiza las distintas propiedades cada hora aproximadamente. Los datos siguen estando sujetos a la latencia de replicación de Active Directory.
El ámbito de la consulta del cmdlet puede verse afectado mediante los parámetros –Forest o –Domain.
Si el valor heartbeatUTC está obsoleto, puede ser un síntoma de que el proxy de protección con contraseña de Microsoft Entra en esa máquina no se está ejecutando o se ha desinstalado.
Versión más reciente del agente proxy disponible
El servicio proxy registrará un evento de advertencia 20002 en el registro operativo al detectar que hay disponible una versión más reciente del software proxy, por ejemplo:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
El evento anterior no especifica la versión del software más reciente. Deberías ir al enlace en el mensaje del evento para obtener esa información.
Este evento se emitirá incluso si el agente proxy está configurado con la actualización automática habilitada.
Pasos siguientes
Solución de problemas de protección con contraseña de Microsoft Entra
Para obtener más información sobre las listas de contraseñas prohibidas globales y personalizadas, consulte el artículo Prohibición de contraseñas incorrectas