Microsoft Entra Csatlakozás Health-ügynökök az AD FS-hez
Ebből a cikkből megtudhatja, hogyan telepítheti és konfigurálhatja a Microsoft Entra Csatlakozás Health-ügynököket. Az alábbi dokumentáció az AD FS-infrastruktúra Microsoft Entra Csatlakozás Health szolgáltatással való telepítésére és monitorozására vonatkozik. A Microsoft Entra Csatlakozás (Szinkronizálás) és a Microsoft Entra Csatlakozás Health monitorozásáról további információt a Microsoft Entra Csatlakozás Health for Sync használata című témakörben talál. Ezenkívül a Microsoft Entra Csatlakozás Health Active Directory tartományi szolgáltatások figyelésével kapcsolatos információkért lásd: A Microsoft Entra Csatlakozás Health használata az AD DS-vel.
Megtudhatja , hogyan töltheti le az ügynököket.
Feljegyzés
A Microsoft Entra Csatlakozás Health nem érhető el a kínai szuverén felhőben.
Követelmények
Az alábbi táblázat a Microsoft Entra Csatlakozás Health használatára vonatkozó követelményeket sorolja fel:
Követelmény | Leírás |
---|---|
Microsoft Entra ID P1 vagy P2 előfizetéssel rendelkezik. | A Microsoft Entra Csatlakozás Health a Microsoft Entra ID P1 vagy P2 szolgáltatása. További információ: Regisztráció a Microsoft Entra P1 vagy P2 azonosítójához. Egy 30 napos ingyenes próbaverzió indításához lásd: Próbaverzió indítása. |
Ön globális rendszergazda a Microsoft Entra-azonosítóban. | Jelenleg csak a globális Rendszergazda istrator-fiókok telepíthetnek és konfigurálhatnak állapotügynököket. További információ: Rendszergazda Microsoft Entra-címtár regisztrációja. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával engedélyezheti a szervezet más felhasználói számára a Microsoft Entra Csatlakozás Health elérését. További információ: Azure RBAC for Microsoft Entra Csatlakozás Health. Fontos: Az ügynökök telepítéséhez használjon munkahelyi vagy iskolai fiókot. Az ügynökök telepítéséhez nem használhat Microsoft-fiókot. További információ: Regisztráció az Azure-ra szervezetként. |
A Microsoft Entra Csatlakozás Health-ügynök minden megcélzott kiszolgálón telepítve van. | Az állapotügynököket telepíteni és konfigurálni kell a célzott kiszolgálókon, hogy adatokat fogadhassák, és monitorozási és elemzési képességeket biztosítsanak. Ha például a Active Directory összevonási szolgáltatások (AD FS) (AD FS) infrastruktúrából szeretne adatokat lekérni, telepítenie kell az ügynököt az AD FS-kiszolgálóra és a webes alkalmazásproxy-kiszolgálóra. Hasonlóképpen, ha adatokat szeretne lekérni a helyszíni AD Domain Services-infrastruktúrából, telepítenie kell az ügynököt a tartományvezérlőkre. |
Az Azure-szolgáltatásvégpontok kimenő kapcsolattal rendelkeznek. | A telepítés és a futtatókörnyezet során az ügynöknek csatlakoznia kell a Microsoft Entra Csatlakozás Health szolgáltatásvégpontokhoz. Ha a tűzfalak blokkolják a kimenő kapcsolatot, adja hozzá a kimenő kapcsolat végpontjait egy engedélyezési listához. |
A kimenő kapcsolat IP-címeken alapul. | Az IP-címek alapján történő tűzfalszűrésről az Azure IP-címtartományairól olvashat. |
A kimenő forgalom TLS-vizsgálata szűrt vagy letiltott. | Az ügynökregisztrációs lépés vagy az adatfeltöltési műveletek meghiúsulhatnak, ha a hálózati rétegen TLS-vizsgálat vagy leállítás történik a kimenő forgalom esetében. További információ: TLS-vizsgálat beállítása. |
A kiszolgálón lévő tűzfalportok az ügynököt futtatják. | Az ügynöknek meg kell nyitnia a következő tűzfalportokat, hogy kommunikálni tudjon a Microsoft Entra Csatlakozás Health szolgáltatás végpontjaival: - 443-os TCP-port - 5671-ös TCP-port Az ügynök legújabb verziójához nincs szükség az 5671-es portra. Frissítsen a legújabb verzióra, hogy csak a 443-as portra legyen szükség. További információ: Hibrid identitáshoz szükséges portok és protokollok. |
Ha az Internet Explorer fokozott biztonsága engedélyezve van, engedélyezze a megadott webhelyeket. | Ha az Internet Explorer fokozott biztonsága engedélyezve van, engedélyezze a következő webhelyeket azon a kiszolgálón, ahol az ügynököt telepíti: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - A szervezet összevonási kiszolgálója, amelyet a Microsoft Entra ID megbízható (például https://sts.contoso.com ). További információ: Az Internet Explorer konfigurálása. Ha proxyja van a hálózatban, tekintse meg a tábla végén megjelenő megjegyzést. |
A PowerShell 5.0-s vagy újabb verziója telepítve van. | A Windows Server 2016 tartalmazza a PowerShell 5.0-s verzióját. |
Fontos
A Windows Server Core nem támogatja a Microsoft Entra Csatlakozás Health-ügynök telepítését.
Feljegyzés
Ha szigorúan zárolt és korlátozott környezettel rendelkezik, több URL-címet kell hozzáadnia, mint az Internet Explorer fokozott biztonságú táblázatlistáinak URL-címeit. A következő szakaszban a táblázatban felsorolt URL-címeket is hozzáadhatja.
Az ügynök új verziói és az automatikus frissítés
Ha az állapotügynök új verziója jelenik meg, a rendszer automatikusan frissíti a meglévő, telepített ügynököket.
Kimenő kapcsolat az Azure-szolgáltatásvégpontokhoz
A telepítés és a futtatókörnyezet során az ügynöknek csatlakoznia kell a Microsoft Entra Csatlakozás Health szolgáltatásvégpontjaihoz. Ha a tűzfalak blokkolják a kimenő kapcsolatot, győződjön meg arról, hogy a következő táblázatban szereplő URL-címek alapértelmezés szerint nincsenek letiltva.
Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését. Ehelyett engedélyezze őket, ahogy más internetes forgalmat is engedélyezne.
Ezek az URL-címek lehetővé teszik a Microsoft Entra Csatlakozás Health szolgáltatásvégpontokkal való kommunikációt. A cikk későbbi részében megtudhatja, hogyan ellenőrizheti a kimenő kapcsolatokat a használatával Test-AzureADConnectHealthConnectivity
.
Tartományi környezet | Szükséges Azure-szolgáltatásvégpontok |
---|---|
Általános nyilvános | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Port: 5671 (Ha az 5671 le van tiltva, az ügynök visszaáll a 443-ra, de azt javasoljuk, hogy az 5671-es portot használja. Ez a végpont nem szükséges az ügynök legújabb verziójában.)- *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ez a végpont csak felderítési célokra használható a regisztráció során.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - https://www.microsoft.com |
Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ez a végpont csak felderítési célokra használható a regisztráció során.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Az ügynökök letöltése
A Microsoft Entra Csatlakozás Health-ügynök letöltése és telepítése:
- Győződjön meg arról, hogy megfelel a Microsoft Entra Csatlakozás Health telepítéséhez szükséges követelményeknek.
- A Microsoft Entra Csatlakozás Health for AD FS használatának első lépései:
- Töltse le az AD FS-hez készült Microsoft Entra Csatlakozás Health-ügynököt.
- Tekintse meg a telepítési utasításokat.
- A Microsoft Entra Csatlakozás Health szinkronizálási használatának első lépései:
- Töltse le és telepítse a Microsoft Entra Csatlakozás legújabb verzióját. A szinkronizálási állapotügynök a Microsoft Entra Csatlakozás telepítésének részeként van telepítve (1.0.9125.0-s vagy újabb verzió).
- A Microsoft Entra Csatlakozás Health for AD Domain Services használatának első lépései:
Az AD FS ügynökének telepítése
Feljegyzés
Az AD FS-kiszolgálónak külön kell lennie a szinkronizálási kiszolgálótól. Ne telepítse az AD FS-ügynököt a szinkronizálási kiszolgálóra.
Feljegyzés
A szinkronizálási állapotügynök a Microsoft Entra Csatlakozás telepítésének részeként van telepítve (1.0.9125.0-s vagy újabb verzió). Ha megkísérli telepíteni az AD FS állapotügynökének egy korábbi verzióját a Microsoft Entra Csatlakozás-kiszolgálón, hibaüzenet jelenik meg. Ha telepítenie kell az AD FS állapotügynökét a számítógépre, töltse le a legújabb verziót, majd távolítsa el a Microsoft Entra Csatlakozás telepítése során telepített verziót.
Az ügynök telepítése előtt győződjön meg arról, hogy az AD FS-kiszolgáló állomásneve egyedi, és nem szerepel az AD FS szolgáltatásban.
Az ügynök telepítésének elindításához kattintson duplán a letöltött .exe fájlra. Az első párbeszédpanelen válassza a Telepítés lehetőséget.
Amikor a rendszer kéri, jelentkezzen be egy Microsoft Entra-fiókkal, amely rendelkezik az ügynök regisztrálásához szükséges engedélyekkel. Alapértelmezés szerint a Hibrid identitás Rendszergazda istrator-fiók rendelkezik engedélyekkel.
A bejelentkezés után a telepítési folyamat befejeződik, és bezárhatja az ablakot.
Ezen a ponton az ügynökszolgáltatásnak automatikusan engedélyeznie kell, hogy az ügynök biztonságosan feltöltse a szükséges adatokat a felhőszolgáltatásba.
Az ügynök telepítésének ellenőrzéséhez keresse meg a következő szolgáltatásokat a kiszolgálón. Ha a konfigurációt elvégezte, a szolgáltatásoknak már futniuk kell. Ellenkező esetben a konfiguráció befejezéséig le lesznek állítva.
- Microsoft Entra Csatlakozás Agent Updater
- Microsoft Entra Csatlakozás Health Agent
Naplózás engedélyezése az AD FS-hez
Feljegyzés
Ez a szakasz csak az AD FS-kiszolgálókra vonatkozik. Ezeket a lépéseket nem kell elvégeznie a webes alkalmazásproxy kiszolgálókon.
A Usage Analytics szolgáltatásnak adatokat kell gyűjtenie és elemeznie, így a Microsoft Entra Csatlakozás Health-ügynöknek szüksége van az AD FS naplózási naplóiban szereplő információkra. Ezek a naplók alapértelmezés szerint nincsenek engedélyezve. Az AD FS-naplózás engedélyezéséhez és az AD FS-kiszolgálók AD FS-naplóinak megkereséséhez kövesse az alábbi eljárásokat.
Az AD FS naplózásának engedélyezése
A kezdőképernyőn nyissa meg a Kiszolgálókezelő, majd nyissa meg a Helyi biztonsági házirendet. Vagy a tálcán nyissa meg a Kiszolgálókezelő, majd válassza az Eszközök/Helyi biztonsági házirend lehetőséget.
Nyissa meg a Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése mappát. Kattintson duplán a Biztonsági auditok létrehozása elemre.
A Helyi biztonsági beállítások lapon ellenőrizze, hogy az AD FS szolgáltatásfiók szerepel-e a listában. Ha nem szerepel a listán, válassza a Felhasználó vagy csoport hozzáadása lehetőséget, és adja hozzá az AD FS szolgáltatásfiókot a listához. Ezután válassza az OK gombra.
A naplózás engedélyezéséhez nyisson meg egy parancssori ablakot rendszergazdaként, majd futtassa a következő parancsot:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
Zárja be a Helyi biztonsági házirend lapot.
Fontos
A fennmaradó lépések csak az elsődleges AD FS-kiszolgálókhoz szükségesek.
Naplózási tulajdonságok engedélyezése az AD FS-kiszolgálón
- Nyissa meg az AD FS kezelő beépülő modulját. (In Kiszolgálókezelő válassza az Eszközök>AD FS Management lehetőséget.)
- A Műveletek panelen válassza az Összevonási szolgáltatás tulajdonságainak szerkesztése lehetőséget.
- Az Összevonási szolgáltatás tulajdonságai párbeszédpanelen válassza az Események lapot.
- Jelölje be a Sikeres éssikertelen auditok jelölőnégyzetet, majd kattintson az OK gombra. A sikeres és sikertelen naplózásokat alapértelmezés szerint engedélyezni kell.
Naplózási tulajdonságok engedélyezése az AD FS-kiszolgálón
Fontos
Ez a lépés csak az elsődleges AD FS-kiszolgálókhoz szükséges.
Nyisson meg egy PowerShell-ablakot, és futtassa a következő parancsot:
Set-AdfsProperties -AuditLevel Verbose
Az "alapszintű" naplózási szint alapértelmezés szerint engedélyezve van. További információ: AD FS-naplózás fejlesztése a Windows Server 2016-ban.
Részletes naplózás ellenőrzése
A részletes naplózás engedélyezésének ellenőrzéséhez tegye a következőket.
Nyisson meg egy PowerShell-ablakot, és futtassa a következő parancsot:
Get-AdfsProperties
Ellenőrizze, hogy a naplózási szint részletesre van-e állítva
Az AD FS szolgáltatásfiók naplózási beállításainak ellenőrzése
- Nyissa meg a Biztonsági Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése mappát. Kattintson duplán a Biztonsági auditok létrehozása elemre.
- A Helyi biztonsági beállítás lapon ellenőrizze, hogy az AD FS szolgáltatásfiók szerepel-e a listában. Ha nem szerepel a listán, válassza a Felhasználó vagy csoport hozzáadása lehetőséget, és adja hozzá az AD FS szolgáltatásfiókot a listához. Ezután válassza az OK gombra.
- Zárja be a Helyi biztonsági házirend lapot.
Az AD FS naplózási naplóinak áttekintése
Az AD FS naplózási naplóinak engedélyezése után az Eseménynapló használatával ellenőrizheti az AD FS naplózási naplóit.
- Nyissa meg az Eseménynaplót.
- Nyissa meg a Windows-naplókat, majd válassza a Biztonság lehetőséget.
- A jobb oldali panelen válassza az Aktuális naplók szűrése lehetőséget.
- Eseményforrások esetén válassza az AD FS-naplózás lehetőséget.
- Az AD FS-események teljes listáját itt találja.
Az auditnaplókkal kapcsolatos további információkért tekintse meg az üzemeltetési kérdéseket.
Figyelmeztetés
Csoportházirenddel letiltható az AD FS-naplózás. Ha az AD FS naplózása le van tiltva, a bejelentkezési tevékenységek használati elemzése nem érhető el. Győződjön meg arról, hogy nincs olyan csoportházirend, amely letiltja az AD FS naplózását.
Az alábbi táblázatok a naplózási szintű eseményeknek megfelelő gyakori események listáját tartalmazzák
Alapszintű naplózási események
ID (Azonosító) | Eseménynév | Esemény leírása |
---|---|---|
1200 | AppTokenSuccessAudit | Az összevonási szolgáltatás érvényes jogkivonatot adott ki. |
1201 | AppTokenFailureAudit | Az összevonási szolgáltatás nem tudott érvényes jogkivonatot kiadni. |
1202 | FreshCredentialSuccessAudit | Az összevonási szolgáltatás egy új hitelesítő adatot ellenőrzött. |
1203 | FreshCredentialFailureAudit | Az összevonási szolgáltatás nem tudta ellenőrizni az új hitelesítő adatokat. |
További információkért tekintse meg az AD FS-események teljes listáját itt.
Részletes naplózási szintű események
ID (Azonosító) | Eseménynév | Esemény leírása |
---|---|---|
299 | TokenIssuanceSuccessAudit | A függő entitáshoz sikeresen ki lett adva jogkivonat. |
403 | RequestReceivedSuccessAudit | HTTP-kérés érkezett. Tekintse meg az 510-et ugyanazzal a példányazonosítóval a fejlécekhez. |
410 | RequestContextHeadersSuccessAudit | A kérelem környezetfejléceinek követése |
411 | SecurityTokenValidationFailureAudit | A jogkivonat érvényesítése nem sikerült. További részletekért tekintse meg a belső kivételt. |
412 | AuthenticationSuccessAudit | Sikeresen megtörtént a(z) %4 függő entitás %3 típusú jogkivonatának hitelesítése. Tekintse meg az 501-et ugyanazzal a példányazonosítóval a hívóidentitáshoz. |
500 | IssuedIdentityClaims | További információ a(z) %1 példányazonosítójú eseménybejegyzésről. Előfordulhat, hogy több olyan esemény is van, amely ugyanazzal a példányazonosítóval rendelkezik, és több információval rendelkezik. |
501 | CallerIdentityClaims | További információ a(z) %1 példányazonosítójú eseménybejegyzésről. Előfordulhat, hogy több olyan esemény is van, amely ugyanazzal a példányazonosítóval rendelkezik, és több információval rendelkezik. |
További információkért tekintse meg az AD FS-események teljes listáját itt.
A Microsoft Entra Csatlakozás Health szolgáltatáshoz való kapcsolódás tesztelése
A Microsoft Entra Csatlakozás Health-ügynök időnként elveszíti a kapcsolatot a Microsoft Entra Csatlakozás Health szolgáltatással. A kapcsolatvesztés okai közé tartozhatnak a hálózati problémák, az engedélyproblémák és a különböző egyéb problémák.
Ha az ügynök két óránál hosszabb ideig nem tud adatokat küldeni a Microsoft Entra Csatlakozás Health szolgáltatásnak, a következő riasztás jelenik meg a portálon: Állapotfigyelő szolgáltatás adatok nem naprakészek.
Az alábbi PowerShell-parancs futtatásával megtudhatja, hogy az érintett Microsoft Entra Csatlakozás Health-ügynök feltölthet-e adatokat a Microsoft Entra Csatlakozás Health szolgáltatásba:
Test-AzureADConnectHealthConnectivity -Role ADFS
A Role
paraméter jelenleg a következő értékeket veszi fel:
ADFS
Sync
ADDS
Feljegyzés
A kapcsolati eszköz használatához először regisztrálnia kell az ügynököt. Ha nem tudja elvégezni az ügynökregisztrációt, győződjön meg arról, hogy megfelel a Microsoft Entra Csatlakozás Health összes követelményének. Csatlakozás ivity alapértelmezés szerint tesztelve van az ügynökregisztráció során.
Az AD FS monitorozása a Microsoft Entra Csatlakozás Health használatával
AD FS-riasztások
A Microsoft Entra Csatlakozás Állapotriasztások szakasz az aktív riasztások listáját tartalmazza. Minden egyes riasztás tartalmazza a fontos információkat, a megoldás lépéseit, valamint a kapcsolódó dokumentációra mutató hivatkozásokat.
Egy aktív vagy egy megoldott riasztásra duplán kattintva egy új panel nyílik meg, amely további információkat, a riasztás megoldását segítő lépéseket és a fontosabb dokumentációkra mutató hivatkozásokat tartalmaz. A már megoldott riasztások esetében az előzményadatokat is megtekintheti.
Használatelemzés az AD FS szolgáltatáshoz
A Microsoft Entra Csatlakozás Health Usage Analytics elemzi az összevonási kiszolgálók hitelesítési forgalmát. A használatelemzés mezőre duplán kattintva megnyílik az elemzés panel, amelyen számos metrika és csoportosítás jelenik meg.
Feljegyzés
A használatelemzés AD FS szolgáltatással való használatához győződjön meg róla, hogy az AD FS-naplózás engedélyezve van. További információkért tekintse meg az AD FS-naplózás engedélyezését.
További metrikák kiválasztásához adjon meg egy időtartományt, vagy a csoportosítás módosításához kattintson a jobb gombbal a használatelemzés diagramra, és válassza a Diagram szerkesztése lehetőséget. Ezt követően megadhatja az időtartományt, kiválaszthat egy másik metrikát, illetve módosíthatja a csoportosítást. A hitelesítési forgalom eloszlását különféle „metrikák” alapján tekintheti meg, és mindegyik metrikát csoportosíthatja a következő szakaszban ismertetett vonatkozó „csoportosítási szempont” paraméterek használatával:
Metrika: Kérelmek száma összesen – Az AD FS-kiszolgálók által feldolgozott kérelmek teljes száma.
Csoportosítási szempont | Mit jelöl az adott csoportosítás, és miért hasznos? |
---|---|
Mind | Az összes AD FS-kiszolgáló által feldolgozott kérelmek teljes számát jeleníti meg. |
Alkalmazás | Az összes kérelmet a célzott függő entitások alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megtudni, melyik alkalmazás hány százalékát fogadja a teljes forgalomnak. |
Kiszolgáló | Az összes kérelmet az azokat feldolgozó kiszolgálók alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megtudni a teljes forgalom terheléseloszlását. |
Munkahelyi csatlakoztatás | Az összes kérelmet az alapján csoportosítja, hogy azok a munkahelyhez csatlakoztatott (ismert) eszközökről érkeznek-e. Ez a csoportosítás akkor hasznos, ha szeretné megtudni, hogy erőforrásaihoz hozzáférnek-e az identitás-infrastruktúra számára ismeretlen eszközökről származó kérelmek. |
Hitelesítési módszer | Az összes kérelmet a hitelesítés során alkalmazott hitelesítési módszer alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megtudni a hitelesítéshez leggyakrabban használt hitelesítési módszereket. Az alábbiakban a lehetséges hitelesítési módszereket követjük
Ha az összevonási kiszolgálók a kérelmet SSO cookie-val kapják meg, a rendszer az adott kérelmet egyszeri bejelentkezésesnek (SSO) veszi. Ilyen esetekben, ha a cookie érvényes, a rendszer nem kér hitelesítő adatokat a felhasználótól, és zökkenőmentes hozzáférést biztosít az alkalmazáshoz. Ez a viselkedés gyakori, ha több, az összevonási kiszolgálók által védett jogcímfelhasználó alkalmazással rendelkezik. |
Hálózati hely | Az összes kérelmet a felhasználó hálózati helye alapján csoportosítja. Ez lehet intranet vagy extranet. Ez a csoportosítás akkor hasznos, ha szeretné megtudni, hogy a forgalom hány százaléka érkezik az intranetről vagy az extranetről. |
Metrika: Összes sikertelen kérelem – Az összevonási szolgáltatás által feldolgozott sikertelen kérelmek teljes száma. (Ez a metrika csak az AD FS for Windows Server 2012 R2 szolgáltatás esetében elérhető)
Csoportosítási szempont | Mit jelöl az adott csoportosítás, és miért hasznos? |
---|---|
Hibatípus | A hibák számát jeleníti meg előre meghatározott hibatípusok szerint. Ez a csoportosítás akkor hasznos, ha szeretné megismerni a gyakori hibatípusokat.
|
Kiszolgáló | A hibákat a kiszolgálók alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megismerni a hibák eloszlását a kiszolgálók között. Az egyenetlen eloszlás esetleg jelezheti azt, hogy valamelyik kiszolgáló meghibásodott. |
Hálózati hely | A hibákat a kérelmek hálózati helye (intranet vagy extranet) alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megismerni a sikertelen kérelemtípusokat. |
Alkalmazás | A hibákat a célzott alkalmazás (jogcímfelhasználó alkalmazás) alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megtudni, hogy melyik célzott alkalmazás kapja a legtöbb hibát. |
Metrika : Felhasználók száma – A hitelesítést aktívan az AD FS segítségével végző egyedi felhasználók száma
Csoportosítási szempont | Mit jelöl az adott csoportosítás, és miért hasznos? |
---|---|
Mind | Ez a mérőszám az összevonási szolgáltatást egy adott időszeletben használó felhasználók átlagos darabszámát adja meg. A felhasználók nincsenek csoportosítva. Az átlag a választott időszelet függvénye. |
Alkalmazás | Az átlagos felhasználószámot a célzott alkalmazás (jogcímfelhasználó alkalmazás) alapján csoportosítja. Ez a csoportosítás akkor hasznos, ha szeretné megtudni, melyik alkalmazást hány felhasználó használja. |
Teljesítményfigyelés az AD FS szolgáltatáshoz
A Microsoft Entra Csatlakozás Health Performance Monitoring monitorozási információkat biztosít a metrikákról. A Figyelés mező kijelölésével megnyílik egy új panel, amely részletes információkat tartalmaz a metrikákra vonatkozóan.
A panel tetején lévő Szűrővel kiszolgálónként szűrheti az adatokat, és megtekintheti az egyes különálló kiszolgálók metrikáit. A metrika módosításához a jobb gombbal kattintson a figyelési diagramra a figyelés panel alatt, és válassza a Diagram szerkesztése lehetőséget (vagy a Diagram szerkesztése gombot). A megnyíló új panelen a legördülő menüből kiválaszthatja a további metrikákat, és megadhat egy időtartományt a vonatkozó teljesítményadatok megtekintéséhez.
A felhasználónevet/jelszót leggyakrabban sikertelenül megadó 50 felhasználó
A sikertelen hitelesítési kérelmek leggyakoribb oka az AD FS-kiszolgálókon, hogy a kérelem érvénytelen hitelesítő adatokkal, azaz rossz felhasználónévvel vagy jelszóval rendelkezik. Általában akkor történik meg, ha a felhasználók bonyolult jelszavakat használnak, elfelejtik vagy elgépelik a jelszavakat.
Azonban más okok miatt is előfordulhat, hogy az AD FS-kiszolgálóknak váratlan számú kérelmet kell kezelniük, például a következő esetekben: egy alkalmazás gyorsítótárazza a felhasználói hitelesítő adatokat, és a hitelesítő adatok lejárnak, vagy pedig egy rosszindulatú felhasználó jól ismert jelszavak sorozatával megpróbál bejelentkezni egy fiókba. Ez a két példa érvényes oka lehet annak, hogy a kérelmek száma hirtelen megnő.
A Microsoft Entra Csatlakozás Health for ADFS jelentést nyújt az 50 legfontosabb felhasználóról, aki érvénytelen felhasználónév vagy jelszó miatt sikertelen bejelentkezési kísérleteket kísérelt meg. Ez a jelentés a farmokon lévő összes AD FS-kiszolgáló által létrehozott összes naplózási esemény feldolgozásával készíthető el.
A jelentésen belül könnyen elérhetőek az alábbi információk:
- A rossz felhasználónévvel/jelszóval rendelkező meghiúsult kérelmek teljes száma az elmúlt 30 napban
- A rossz felhasználónévvel/jelszóval sikertelenül bejelentkezni próbáló felhasználók átlagos száma naponta.
Erre a részre kattintva megjelenik a fő jelentéspanel, amelyen további részletek láthatóak. Ezen a panelen többek között egy trendekkel kapcsolatos információkat tartalmazó diagram is látható, amellyel meghatározható a rossz felhasználónévvel vagy jelszóval leadott kérelmek alapmetrikája. Megjeleníti továbbá az elmúlt héten sikertelen bejelentkezéssel leggyakrabban próbálkozó 50 felhasználó listáját. Az elmúlt heti 50 felhasználó megtekintésével azonosíthatóak a helytelen jelszóval végzett bejelentkezési kísérletekben jelentkező kiugró értékek.
A diagramon az alábbi információk találhatóak meg:
- A rossz felhasználónév/jelszó miatt meghiúsult bejelentkezések teljes száma napi szinten.
- A meghiúsult bejelentkezéseket megkísérlő egyedi felhasználók teljes száma napi szinten.
- A legutóbbi kérelmet leadó ügyfél IP-címe
A jelentésben az alábbi információk találhatók:
Jelentéselem | Leírás |
---|---|
Felhasználói azonosító | A használt felhasználóazonosítót mutatja. Ez a felhasználó által begépelt érték, ami bizonyos esetekben a rossz felhasználóazonosító. |
Sikertelen próbálkozások | A sikertelen bejelentkezések teljes számát mutatja az adott felhasználóazonosítóhoz. A táblázat a sikertelen bejelentkezések mennyisége alapján van rendezve csökkenő sorrendben. |
Utolsó sikertelen kísérlet | Az utolsó sikertelen kísérlet időpontjának időbélyegét mutatja. |
Legutóbbi sikertelen kísérlet IP-címe | A legutóbbi sikertelen kérelemhez tartozó IP-címet jeleníti meg. Ha ebben az értékben egynél több IP-címet lát, lehet, hogy az érték magában foglalja a továbbított ügyfél IP-címét és a felhasználó utoljára megkísérelt kéréséhez tartozó IP-címet. |
Feljegyzés
A jelentés 12 óránként automatikusan frissül az ez idő alatt gyűjtött új információkkal. Ezért az utolsó 12 órában gyűjtött bejelentkezési kísérletek esetleg még nem szerepelnek a jelentésben.
Kapcsolódó hivatkozások
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: