Partager via


Améliorations de l’audit apportées à AD FS dans Windows Server 2016

Actuellement, dans AD FS pour Windows Server 2012 R2, un grand nombre d’événements d’audit étaient générés pour une demande unique, et les informations pertinentes sur une activité de connexion ou d’émission de jetons étaient soit absentes (dans certaines versions d’AD FS), soit réparties sur plusieurs événements d’audit. Par défaut, les événements d’audit AD FS sont désactivés en raison de leur nature détaillée.

Avec la publication d’AD FS dans Windows Server 2016, l’audit est plus rationalisé et moins détaillé.

Niveaux d’audit dans AD FS pour Windows Server 2016

Par défaut, l’audit de base est activé pour AD FS dans Windows Server 2016. Avec l’audit de base, les administrateurs voient 5 événements ou moins pour une requête unique. Cela marque une diminution significative du nombre d’événements que les administrateurs doivent examiner pour voir une seule requête. Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel. Le tableau ci-dessous décrit les niveaux d’audit disponibles.

Niveau d'audit Syntaxe PowerShell Description
None Set-AdfsProperties- AuditLevel : Aucun L’audit est désactivé et aucun événement n’est enregistré.
De base (par défaut) Set-AdfsProperties - AuditLevel : De base Pas plus de 5 événements sont consignés pour une requête unique
Commentaires Set-AdfsProperties - AuditLevel : Commentaires Tous les événements sont consignés. Cela permet de consigner une quantité importante d’informations par requête.

Pour afficher le niveau d’audit actuel, vous pouvez utiliser la commande PowerShell Get-AdfsProperties.

Screenshot that shows how to use the Get-AdfsProperties cmdlet.

Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel.

audit enhancements

Types d’événements d’audit

Les événements d’audit AD FS peuvent être de types différents, en fonction des différents types de demandes traitées par AD FS. Chaque type d’événement d’audit est associé à des données spécifiques. Le type d’événement d’audit peut être différencié entre les demandes de connexion (comme les demandes de jeton) et les demandes système (appels serveur-serveur, y compris la récupération des informations de configuration).

Le tableau ci-dessous décrit les types d’événements d’audit de base.

Type d’événement d’audit ID de l’événement Description
Réussite de la validation des informations d’identification 1202 Requête dans laquelle les nouvelles informations d’identification sont validées avec succès par le service de fédération. Cela inclut WS-Trust, WS-Federation, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth.
Erreur de validation des informations d’identification nouvelles 1203 Demande dans laquelle la validation des informations d’identification a échoué sur le service de fédération. Cela inclut WS-Trust, WS-Fed, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth.
Réussite du jeton d’application 1200 Requête dans laquelle un jeton de sécurité est émis avec succès par le service de fédération. Pour WS-Federation, SAML-P, cette opération est enregistrée lorsque la demande est traitée avec l’artefact SSO. (par exemple, le cookie d’authentification unique).
Échec du jeton d’application 1201 Requête dans laquelle l’émission de jeton de sécurité a échoué sur le service de fédération. Pour WS-Federation, SAML-P, cette opération est enregistrée lorsque la demande a été traitée avec l’artefact d’authentification unique. (par exemple, le cookie d’authentification unique).
Réussite de la demande de modification de mot de passe 1204 Transaction dans laquelle la demande de modification de mot de passe a été traitée avec succès par le service de fédération.
Erreur de demande de modification du mot de passe 1205 Transaction dans laquelle la demande de modification de mot de passe n’a pas pu être traitée par le service de fédération.
Réussite de la déconnexion 1206 Décrit une demande de déconnexion réussie.
Échec de déconnexion 1207 Décrit une demande de déconnexion ayant échoué.