Helyszíni Microsoft Entra jelszóvédelmi környezetek naplóinak felügyelete és áttekintése
A Microsoft Entra Password Protection üzembe helyezése után a monitorozás és a jelentéskészítés alapvető feladat. Ez a cikk részletesen ismerteti a különböző figyelési technikákat, többek között azt, hogy az egyes szolgáltatások hol naplóznak információkat, és hogyan jelentheti be a Microsoft Entra Password Protection használatát.
A monitorozás és a jelentéskészítés eseménynapló-üzenetekkel vagy PowerShell-parancsmagok futtatásával történik. A DC-ügynök és a proxy egyaránt naplózza az eseménynapló-üzeneteket. Az alábbiakban ismertetett összes PowerShell-parancsmag csak a proxykiszolgálón érhető el (lásd az AzureADPasswordProtection PowerShell-modult). A DC-ügynök szoftvere nem telepít PowerShell-modult.
DC-ügynök eseménynaplózása
Minden tartományvezérlőn a DC agent szolgáltatásszoftver minden egyes jelszóérvényesítési művelet eredményét (és egyéb állapotát) egy helyi eseménynaplóba írja:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
A dc agent Rendszergazda napló az elsődleges információforrás a szoftver viselkedéséről.
Vegye figyelembe, hogy a nyomkövetési napló alapértelmezés szerint ki van kapcsolva.
A különböző DC-ügynökösszetevők által naplózott események a következő tartományokba tartoznak:
| Összetevő | Eseményazonosító tartománya |
|---|---|
| TARTOMÁNYVEZÉRLŐ-ügynök jelszószűrő dll-je | 10000-19999 |
| A DC agent szolgáltatás üzemeltetési folyamata | 20000-29999 |
| DC agent service policy validation logic | 30000-39999 |
DC-ügynök Rendszergazda eseménynaplója
Jelszóérvényesítési eredmények eseményei
Minden tartományvezérlőn a DC agent szolgáltatásszoftver minden egyes jelszóérvényesítés eredményét a DC-ügynök rendszergazdai eseménynaplójába írja.
A sikeres jelszóérvényesítési művelethez általában egy esemény van naplózva a DC-ügynök jelszószűrő dll-éből. A sikertelen jelszó-érvényesítési művelethez általában két esemény van naplózva, egy a DC Agent szolgáltatásból, egy pedig a DC Agent jelszószűrő dll-éből.
A rendszer az alábbi tényezők alapján naplózza az ilyen helyzetek rögzítésére szolgáló különálló eseményeket:
- Azt jelzi, hogy egy adott jelszó be van-e állítva vagy módosult-e.
- Azt jelzi, hogy egy adott jelszó ellenőrzése sikeres vagy sikertelen volt-e.
- Azt, hogy az ellenőrzés a Microsoft globális szabályzata, a szervezeti szabályzat vagy egy kombináció miatt meghiúsult-e.
- Azt jelzi, hogy a naplózási mód jelenleg be van-e kapcsolva vagy ki van-e kapcsolva az aktuális jelszóházirend esetében.
A jelszóérvényesítéssel kapcsolatos legfontosabb események a következők:
| Esemény | Jelszó módosítása | Jelszókészlet |
|---|---|---|
| Sikeres | 10014 | 10015 |
| Hiba (ügyféljelszó-szabályzat miatt) | 10016, 30002 | 10017, 30003 |
| Hiba (a Microsoft jelszószabályzata miatt) | 10016, 30004 | 10017, 30005 |
| Sikertelen (a Microsoft és az ügyfél jelszószabályzatai együttes miatt) | 10016, 30026 | 10017, 30027 |
| Hiba (felhasználónév miatt) | 10016, 30021 | 10017, 30022 |
| Csak naplózási bérlet (nem sikerült volna az ügyfél jelszóházirendje) | 10024, 30008 | 10025, 30007 |
| Csak naplózási bérlet (a Microsoft jelszóházirendje meghiúsult volna) | 10024, 30010 | 10025, 30009 |
| Csak naplózási bérlet (a Microsoft és az ügyfél jelszószabályzatai együttesen sikertelenek lettek volna) | 10024, 30028 | 10025, 30029 |
| Csak naplózási bérlet (a felhasználónév miatt meghiúsult volna) | 10016, 30024 | 10017, 30023 |
A fenti táblázatban az "egyesített szabályzatokra" hivatkozó esetek olyan helyzetekre utalnak, amikor egy felhasználó jelszava legalább egy jogkivonatot tartalmaz a Microsoft által tiltott jelszólistáról és az ügyfél által tiltott jelszólistáról is.
A fenti táblázatban a "felhasználónévre" hivatkozó esetek olyan helyzetekre utalnak, amikor a felhasználó jelszava a felhasználó fióknevét és/vagy a felhasználó egyik rövid nevét tartalmazza. Bármelyik forgatókönyv esetén a felhasználó jelszava el lesz utasítva, ha a szabályzat kényszerítésre van állítva, vagy ha a szabályzat naplózási módban van, akkor azt adja át.
Ha egy eseménypár együtt van naplózva, a rendszer mindkét eseményt explicit módon társítja ugyanazzal a korrelációs azonosítóval.
Jelszóérvényesítési összefoglaló jelentéskészítés a PowerShell-lel
A Get-AzureADPasswordProtectionSummaryReport parancsmag használható a jelszó-érvényesítési tevékenység összefoglaló nézetének létrehozására. A parancsmag példakimenete a következő:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
A parancsmag jelentésének hatóköre az egyik –Forest, -Domain vagy –DomainController paraméterrel befolyásolható. Ha nem ad meg paramétert, az azt jelenti, hogy –Erdő.
Megjegyzés:
Ha csak egy tartományvezérlőre telepíti a DC-ügynököt, a Get-AzureADPasswordProtectionSummaryReport csak az adott tartományvezérlőről olvassa be az eseményeket. Ha több tartományvezérlőről szeretne eseményeket lekérni, minden tartományvezérlőre telepítenie kell a DC-ügynököt.
A Get-AzureADPasswordProtectionSummaryReport parancsmag úgy működik, hogy lekérdezi a DC-ügynök rendszergazdai eseménynaplóját, majd megszámolja az egyes megjelenített eredménykategóriáknak megfelelő események teljes számát. Az alábbi táblázat az egyes eredmények és a hozzá tartozó eseményazonosító közötti leképezéseket tartalmazza:
| Get-AzureADPasswordProtectionSummaryReport tulajdonság | Megfelelő eseményazonosító |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Vegye figyelembe, hogy a Get-AzureADPasswordProtectionSummaryReport parancsmag PowerShell-szkript formájában van szállítva, és szükség esetén közvetlenül a következő helyen hivatkozhat rájuk:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Megjegyzés:
Ez a parancsmag úgy működik, hogy megnyit egy PowerShell-munkamenetet az egyes tartományvezérlőknek. A sikeresség érdekében a PowerShell távoli munkamenet-támogatását minden tartományvezérlőn engedélyezni kell, és az ügyfélnek megfelelő jogosultságokkal kell rendelkeznie. A Távoli PowerShell-munkamenetek követelményeivel kapcsolatos további információkért futtassa a "Get-Help about_Remote_Troubleshooting" parancsot egy PowerShell-ablakban.
Megjegyzés:
Ez a parancsmag úgy működik, hogy távolról lekérdezi az egyes DC-ügynökszolgáltatás Rendszergazda eseménynaplóját. Ha az eseménynaplók nagy számú eseményt tartalmaznak, a parancsmag végrehajtása hosszú időt vehet igénybe. Emellett a nagy adathalmazok tömeges hálózati lekérdezései hatással lehetnek a tartományvezérlő teljesítményére. Ezért ezt a parancsmagot éles környezetben gondosan kell használni.
Példa eseménynapló-üzenetekre
Eseményazonosító: 10014 (Sikeres jelszómódosítás)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Eseményazonosító: 10017 (Sikertelen jelszómódosítás):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Eseményazonosító: 30003 (Sikertelen jelszómódosítás):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Eseményazonosító: 10024 (Csak naplózási módban lévő szabályzat miatt elfogadott jelszó)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Eseményazonosító: 30008 (Csak naplózási módban lévő szabályzat miatt elfogadott jelszó)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Eseményazonosító: 30001 (A jelszó nem érhető el szabályzat miatt)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
30006-os eseményazonosító (új szabályzat kényszerítve)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Eseményazonosító: 30019 (A Microsoft Entra Jelszóvédelem le van tiltva)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
DC Agent működési naplója
A DC-ügynök szolgáltatás a működéssel kapcsolatos eseményeket is naplózza a következő naplóba:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
DC-ügynök nyomkövetési naplója
A DC-ügynök szolgáltatás részletes hibakeresési szintű nyomkövetési eseményeket is naplózhat a következő naplóba:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
A nyomkövetési naplózás alapértelmezés szerint le van tiltva.
Figyelmeztetés
Ha engedélyezve van, a nyomkövetési napló nagy mennyiségű eseményt kap, és hatással lehet a tartományvezérlő teljesítményére. Ezért ezt a bővített naplót csak akkor szabad engedélyezni, ha egy probléma mélyebb vizsgálatot igényel, majd csak minimális ideig.
TARTOMÁNYVEZÉRLŐ-ügynök szövegnaplózása
A DC-ügynök szolgáltatás úgy konfigurálható, hogy szövegnaplóba írjon a következő beállításjegyzék-érték beállításával:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
A szövegnaplózás alapértelmezés szerint le van tiltva. Az érték módosításának érvénybe lépéséhez újra kell indítani a DC-ügynökszolgáltatást. Ha engedélyezve van, a DC-ügynök szolgáltatás a következő alatt található naplófájlba fog írni:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Tipp.
A szöveges napló ugyanazokat a hibakeresési szintű bejegyzéseket kapja, amelyek naplózhatók a nyomkövetési naplóban, de általában egyszerűbben áttekinthetők és elemezhetők.
Figyelmeztetés
Ha engedélyezve van, ez a napló nagy mennyiségű eseményt kap, és hatással lehet a tartományvezérlő teljesítményére. Ezért ezt a bővített naplót csak akkor szabad engedélyezni, ha egy probléma mélyebb vizsgálatot igényel, majd csak minimális ideig.
DC-ügynök teljesítményfigyelése
A DC-ügynök szolgáltatásszoftvere egy Microsoft Entra Password Protection nevű teljesítményszámláló objektumot telepít. Jelenleg a következő perf számlálók érhetők el:
| Perf számláló neve | Leírás |
|---|---|
| Feldolgozott jelszavak | Ez a számláló a legutóbbi újraindítás óta feldolgozott (elfogadott vagy elutasított) jelszavak teljes számát jeleníti meg. |
| Elfogadott jelszavak | Ez a számláló a legutóbbi újraindítás óta elfogadott jelszavak teljes számát jeleníti meg. |
| A jelszavak elutasítva | Ez a számláló a legutóbbi újraindítás óta elutasított jelszavak teljes számát jeleníti meg. |
| Folyamatban lévő jelszószűrő kérések | Ez a számláló a jelenleg folyamatban lévő jelszószűrő kérések számát jeleníti meg. |
| Jelszószűrés-kérelmek csúcsértéke | Ez a számláló az egyidejű jelszószűrő kérések maximális számát jeleníti meg a legutóbbi újraindítás óta. |
| Jelszószűrő kérési hibái | Ez a számláló megjeleníti azoknak a jelszószűrő-kérelmeknek a teljes számát, amelyek a legutóbbi újraindítás óta hiba miatt meghiúsultak. Hibák léphetnek fel, ha a Microsoft Entra Password Protection DC ügynökszolgáltatás nem fut. |
| Jelszószűrési kérések másodpercenként | Ez a számláló megjeleníti a jelszavak feldolgozásának sebességét. |
| Jelszószűrő kérés feldolgozási ideje | Ez a számláló megjeleníti a jelszószűrő-kérés feldolgozásához szükséges átlagos időt. |
| Jelszószűrő-kérelmek feldolgozási idejének csúcsértéke | Ez a számláló megjeleníti a jelszószűrő-kérések legutóbbi újraindítás óta eltelt feldolgozási idejét. |
| A naplózási mód miatt elfogadott jelszavak | Ez a számláló azoknak a jelszavaknak a teljes számát jeleníti meg, amelyeket általában elutasítottak volna, de a jelszóházirend naplózási módban lett konfigurálva (a legutóbbi újraindítás óta). |
TARTOMÁNYVEZÉRLŐ-ügynök felderítése
A Get-AzureADPasswordProtectionDCAgent parancsmag használható a tartományban vagy erdőben futó különböző tartományvezérlő-ügynökök alapvető információinak megjelenítésére. Ezeket az információkat a rendszer a futó DC-ügynökszolgáltatás(ok) által regisztrált szolgáltatás Csatlakozás ionPoint-objektum(ok)ból kéri le.
A parancsmag példakimenete a következő:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
A különböző tulajdonságokat az egyes DC agent-szolgáltatások körülbelül óránként frissítik. Az adatok továbbra is az Active Directory replikációs késésére vonatkoznak.
A parancsmag lekérdezésének hatóköre az –Forest vagy a –Domain paraméterekkel is befolyásolható.
Ha a HeartbeatUTC érték elavult, ez annak a tünete lehet, hogy a Microsoft Entra Password Protection tartományvezérlő ügynöke nem fut, vagy eltávolították, vagy a gépet lefokozták, és már nem tartományvezérlő.
Ha a PasswordPolicyDateUTC érték elavult, ez annak a tünete lehet, hogy a Számítógépen a Microsoft Entra Password Protection DC-ügynök nem működik megfelelően.
A DC-ügynök újabb verziója érhető el
A DC-ügynök szolgáltatás naplózni fog egy 30034-es figyelmeztető eseményt az operatív naplóba, amikor észleli, hogy a DC agent szoftver újabb verziója érhető el, például:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
A fenti esemény nem határozza meg az újabb szoftver verzióját. Ehhez az eseményüzenetben található hivatkozásra kell lépnie.
Megjegyzés:
Annak ellenére, hogy a fenti eseményüzenetben az "autoupgrade" kifejezésre hivatkozik, a DC-ügynök szoftvere jelenleg nem támogatja ezt a funkciót.
Proxyszolgáltatás eseménynaplózása
A proxyszolgáltatás minimális eseménykészletet bocsát ki a következő eseménynaplókba:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Vegye figyelembe, hogy a nyomkövetési napló alapértelmezés szerint ki van kapcsolva.
Figyelmeztetés
Ha engedélyezve van, a nyomkövetési napló nagy mennyiségű eseményt kap, és ez hatással lehet a proxy gazdagép teljesítményére. Ezért ezt a naplót csak akkor szabad engedélyezni, ha egy probléma mélyebb vizsgálatot igényel, majd csak minimális ideig.
Az eseményeket a különböző proxyösszetevők a következő tartományok használatával naplózják:
| Összetevő | Eseményazonosító tartománya |
|---|---|
| Proxyszolgáltatás-üzemeltetési folyamat | 10000-19999 |
| Proxyszolgáltatás alapvető üzleti logikája | 20000-29999 |
| PowerShell cmdlets | 30000-39999 |
Proxyszolgáltatás szövegnaplózása
A proxyszolgáltatás a következő beállításjegyzék-érték beállításával konfigurálható úgy, hogy szövegnaplóba írjon:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (REG_DWORD érték)
A szövegnaplózás alapértelmezés szerint le van tiltva. Az érték módosításának érvénybe lépéséhez újra kell indítani a proxyszolgáltatást. Ha engedélyezve van, a proxyszolgáltatás a következő alatt található naplófájlba fog írni:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Tipp.
A szöveges napló ugyanazokat a hibakeresési szintű bejegyzéseket kapja, amelyek naplózhatók a nyomkövetési naplóban, de általában egyszerűbben áttekinthetők és elemezhetők.
Figyelmeztetés
Ha engedélyezve van, ez a napló nagy mennyiségű eseményt kap, és hatással lehet a gép teljesítményére. Ezért ezt a bővített naplót csak akkor szabad engedélyezni, ha egy probléma mélyebb vizsgálatot igényel, majd csak minimális ideig.
PowerShell-parancsmag naplózása
Az állapotváltozást eredményező PowerShell-parancsmagok (például a Register-AzureADPasswordProtectionProxy) általában naplóznak egy eredményeseményt az operatív naplóba.
Ezenkívül a Microsoft Entra Password Protection PowerShell-parancsmagok többsége a következő helyen található szöveges naplóba fog írni:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Ha parancsmaghiba történik, és az ok és a megoldás nem egyértelmű, ezek a szöveges naplók is megtekinthetők.
Proxyfelderítés
A Get-AzureADPasswordProtectionProxy parancsmag segítségével alapvető információkat jeleníthet meg a tartományban vagy erdőben futó különböző Microsoft Entra Password Protection proxyszolgáltatásokról. Ezeket az információkat a rendszer a futó proxyszolgáltatás(ok) által regisztrált szolgáltatás Csatlakozás ionPoint-objektum(ok)ból kéri le.
A parancsmag példakimenete a következő:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
A különböző tulajdonságokat az egyes proxyszolgáltatások körülbelül óránként frissítik. Az adatok továbbra is az Active Directory replikációs késésére vonatkoznak.
A parancsmag lekérdezésének hatóköre az –Forest vagy a –Domain paraméterekkel is befolyásolható.
Ha a HeartbeatUTC érték elavult, ez annak a tünete lehet, hogy a Microsoft Entra jelszóvédelmi proxyja nem fut vagy el lett távolítva.
A proxyügynök újabb verziója érhető el
A proxyszolgáltatás egy 20002-es figyelmeztető eseményt naplóz az operatív naplóba, amikor észleli, hogy a proxyszoftver újabb verziója érhető el, például:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
A fenti esemény nem határozza meg az újabb szoftver verzióját. Ehhez az eseményüzenetben található hivatkozásra kell lépnie.
Ez az esemény akkor is ki lesz bocsátva, ha a proxyügynök az automatikus frissítés engedélyezésével van konfigurálva.
További lépések
A Microsoft Entra Password Protection hibaelhárítása
A globális és egyéni tiltott jelszólistákról további információt a Hibás jelszavak tiltása című cikkben talál.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: