Partager via

Connexions AD FS dans Microsoft Entra ID avec Connect Health - préversion

  • Article

Les connexions AD FS peuvent désormais être intégrées dans le rapport de connexions Microsoft Entray à l’aide de Connect Health. Le rapport de connexions Microsoft Entra contient des informations sur le moment où les utilisateurs, les applications et les ressources managées se connectent à Microsoft Entra ID et accèdent aux ressources.

L’agent Connect Health pour AD FS met en corrélation plusieurs ID d’événements à partir d’AD FS, en fonction de la version du serveur, afin de fournir des informations sur la requête et les détails de l’erreur en cas d’échec de la requête. Ces informations sont mises en corrélation avec le schéma de rapport de connexion Microsoft Entra et affichées dans l’expérience utilisateur de rapport de connexion Microsoft Entra. En plus du rapport, un nouveau flux Log Analytics est disponible avec les données d’AD FS et un nouveau modèle de classeur Azure Monitor. Le modèle peut être utilisé et modifié pour une analyse approfondie des scénarios tels que les verrouillages de compte AD FS, les tentatives de mot de passe incorrectes et les pics de tentatives de connexion inattendues.

Prérequis

  • Microsoft Entra Connect Health pour AD FS, installé et mis à niveau vers la dernière version (3.1.95.0 ou version ultérieure).
  • Rôle de lecteur de rapports ou d’Administrateur général pour afficher les connexions Microsoft Entra

Quelles données sont affichées dans le rapport ?

Les données disponibles reflètent les mêmes données disponibles pour les connexions Microsoft Entra. Cinq onglets contenant des informations seront disponibles en fonction du type de connexion, Microsoft Entra ou AD FS. Connect Health met en corrélation les événements d’AD FS, en fonction de la version du serveur, et les met en correspondance avec le schéma AD FS.

Connexions utilisateur

Chaque onglet du panneau des connexions affiche les valeurs par défaut ci-dessous :

  • Date de la connexion
  • ID de la demande
  • Nom ou ID de l’utilisateur
  • État de la connexion
  • Adresse IP de l’appareil utilisé pour la connexion
  • Identificateur de connexion

Informations sur la méthode d’authentification

Les valeurs suivantes peuvent être affichées dans l’onglet Authentification. La méthode d’authentification est tirée des journaux d’audit AD FS.

Méthode d'authentification Description
Formulaires Authentification par nom d’utilisateur/mot de passe
Windows Authentification Windows intégrée
Certificat Authentification avec des certificats SmartCard/VirtualSmart
WindowsHelloForBusiness Ce champ est destiné à l’authentification avec Windows Hello Entreprise. (Authentification Microsoft Passport)
Périphérique S’affiche si l’authentification de l’appareil est sélectionnée comme l’authentification « principale » à partir de l’intranet/extranet et que l’authentification de l’appareil est effectuée. Il n’y a pas d’authentification utilisateur distincte dans ce scénario.
Adresses IP fédérées AD FS n’a pas effectué l’authentification, mais l’a envoyée à un fournisseur d’identité tiers
SSO Si un jeton d’authentification unique a été utilisé, ce champ s’affiche. Si l’authentification unique a une authentification multifacteur, elle s’affiche comme multifacteur
Multifacteur Si un jeton d’authentification unique a une authentification multifacteur et qu’elle a été utilisée pour l’authentification, ce champ s’affiche en tant que multifacteur
Azure MFA Azure MFA est sélectionné en tant que fournisseur d’authentification supplémentaire dans AD FS et a été utilisé pour l’authentification
ADFSExternalAuthenticationProvider Ce champ est utilisé si un fournisseur d’authentification tiers a été inscrit et utilisé pour l’authentification

Informations supplémentaires sur AD FS

Les informations suivantes sont disponibles pour les connexions AD FS :

  • Nom du serveur
  • Chaîne IP
  • Protocol

Activation de Log Analytics et d’Azure Monitor

Log Analytics peut être activé pour les connexions AD FS et être utilisé avec n’importe quel autre composant intégré à Log Analytics, comme Sentinel.

Notes

Les connexions AD FS peuvent augmenter considérablement les coûts de Log Analytics, en fonction de la quantité de connexions à AD FS dans votre organisation. Pour activer et désactiver Log Analytics, sélectionnez la case à cocher du flux.

Pour activer Log Analytics pour cette fonctionnalité, accédez au panneau Log Analytics et sélectionnez le flux « ADFSSignIns ». Cette sélection permet aux connexions AD FS d’être sont acheminées vers Log Analytics.

Pour accéder au modèle de classeur Azure Monitor mis à jour, accédez à « Modèles Azure Monitor », puis sélectionnez le classeur « Connexions ». Pour plus d’informations sur les classeurs, consultez Classeurs Azure Monitor.

Forum Aux Questions (FAQ)

Quels sont les types de connexions que je suis susceptible de voir ? Le rapport de connexions prend en charge les connexions via les protocoles O-Auth, WS-Fed, SAML et WS-Trust.

Comment les différents types de connexions sont-ils affichés dans le rapport de connexions ? Si une connexion unique fluide est effectuée, il y aura une ligne pour la connexion avec un ID de corrélation. Si une authentification à facteur unique est effectuée, deux lignes sont remplies avec le même ID de corrélation, mais avec deux méthodes d’authentification différentes (à savoir, formulaires, SSO). Dans le cas de l’authentification multifacteur, il y aura trois lignes avec un ID de corrélation partagé et trois méthodes d’authentification correspondantes (à savoir, formulaires, AzureMFA, multifacteur). Dans cet exemple particulier, le multifacteur dans ce cas indique que l’authentification unique a une authentification multifacteur.

Quels sont les types d’erreurs que je suis susceptible de voir ? Pour obtenir la liste complète des erreurs liées à AD FS qui sont renseignées dans le rapport et les descriptions de connexion, consultez la page Informations de référence sur le code d’erreur dans l’aide AD FS

Je vois « 00000000-0000-0000-0000-000000000000 » dans la section « Utilisateur » d’une connexion. Que cela signifie-t-il ? Si la connexion a échoué et que l’UPN ne correspond pas à un UPN existant, les champs « Utilisateur », « Nom d’utilisateur » et « ID utilisateur » seront “00000000-0000-0000-0000-000000000000” et l’« Identificateur de connexion » sera renseigné avec la valeur tentée entrée par l’utilisateur. Dans ce cas, l’utilisateur qui tente de se connecter n’existe pas.

Comment puis-je mettre en corrélation mes événements locaux avec le rapport de connexions Microsoft Entra ? L’agent Microsoft Entra Connect Health pour AD FS met en corrélation les ID d’événement d’AD FS en fonction de la version du serveur. Les événements sont disponibles dans le journal de sécurité des serveurs AD FS.

Pourquoi est-ce que je vois NotSet ou NotApplicable dans l’ID/le nom de l’application pour certaines connexions AD FS ? Le rapport de connexions AD FS affiche des ID OAuth dans le champ ID de l’application pour les connexions OAuth. Dans les scénarios de connexion WS-Fed et WS-Trust, l’ID d’application sera NotSet ou NotApplicable et les ID de ressource et les identificateurs de partie de confiance seront présents dans le champ d’ID de ressource.

Pourquoi les champs ID de ressource et Nom de ressource sont-ils indiqués comme étant « non définis » ? Les champs ResourceId/Name seront « NotSet » (non définis) dans certains cas d’erreur, comme « Nom d’utilisateur et mot de passe incorrects » et dans les connexions ayant échoué basées sur WSTrust.

Y a-t-il d’autres problèmes connus avec le rapport en mode aperçu ? Le rapport présente un problème connu où le champ « Exigence d’authentification » de l’onglet « Informations de base » est renseigné comme une valeur d’authentification à facteur unique pour les connexions AD FS, quelle que soit la connexion. En outre, l’onglet Détails de l’authentification affiche « Principal ou secondaire » dans le champ Exigence, avec un correctif en cours pour différencier les types d’authentification principal et secondaire.