Accessi ad AD FS in Microsoft Entra ID con Connessione Health - anteprima
Gli accessi ad AD FS possono ora essere integrati nel report degli accessi di Microsoft Entra usando Connessione Health. Il report sugli accessi a Microsoft Entras Report include informazioni su quando utenti, applicazioni e risorse gestite accedono a Microsoft Entra ID e accedono alle risorse.
L'agente di Connessione Health per AD FS correla più ID evento da AD FS, a seconda della versione del server, per fornire informazioni sulla richiesta e i dettagli dell'errore in caso di esito negativo della richiesta. Queste informazioni sono correlate allo schema del report di accesso di Microsoft Entra e visualizzate nell'esperienza utente del report di accesso di Microsoft Entra. Insieme al report, è disponibile un nuovo flusso di Log Analytics con i dati di AD FS e un nuovo modello di cartella di lavoro di Monitoraggio di Azure. Il modello può essere usato e modificato per un'analisi approfondita per scenari quali blocchi dell'account AD FS, tentativi di password non valido e picchi di tentativi di accesso imprevisti.
Prerequisiti
- Microsoft Entra Connessione Health per AD FS installato e aggiornato alla versione più recente (3.1.95.0 o versione successiva).
- Ruolo con autorizzazioni di lettura amministratore globale o report per visualizzare gli accessi a Microsoft Entra
Quali dati vengono visualizzati nel report?
I dati disponibili rispecchiano gli stessi dati disponibili per gli accessi a Microsoft Entra. Cinque schede con informazioni saranno disponibili in base al tipo di accesso, ovvero Microsoft Entra ID o AD FS. Connessione Integrità correla gli eventi di AD FS, a seconda della versione del server e li associa allo schema AD FS.
Accessi utente
Ogni scheda nel pannello degli accessi mostra i valori predefiniti seguenti:
- Data di accesso
- ID richiesta
- Nome utente o ID utente
- Stato dell'accesso
- Indirizzo IP del dispositivo usato per l'accesso
- Identificatore di accesso
Informazioni sul metodo di autenticazione
Nella scheda di autenticazione possono essere visualizzati i valori seguenti. Il metodo di autenticazione viene ottenuto dai log di controllo di AD FS.
| Metodo di autenticazione | Descrizione |
|---|---|
| Form | Autenticazione con nome utente/password |
| Windows | Autenticazione integrata di Windows |
| Certificate | Autenticazione con smart card/certificati VirtualSmart |
| WindowsHelloForBusiness | Questo campo è per l'autenticazione con Windows Hello for Business. (Autenticazione di Microsoft Passport) |
| Dispositivo | Viene visualizzato se l'autenticazione del dispositivo è selezionata come "Primaria" da Intranet/Extranet e viene eseguita l'autenticazione del dispositivo. In questo scenario non è presente alcuna autenticazione utente separata. |
| Federati | AD FS non ha eseguito l'autenticazione ma l'ha inviata a un provider di identità di terze parti |
| SSO | Se è stato usato un token single sign-on, questo campo verrà visualizzato. Se l'accesso Single Sign-On ha un'autenticazione a più fattori, verrà visualizzato come multifactoring |
| Multifactoring | Se un token single sign-on ha un'autenticazione a più fattori e che è stata usata per l'autenticazione, questo campo verrà visualizzato come multifactoring |
| Azure MFA | Azure MFA è selezionato come provider di autenticazione aggiuntivo in AD FS ed è stato usato per l'autenticazione |
| ADF edizione Standard xternalAuthenticationProvider | Questo campo è se un provider di autenticazione di terze parti è stato registrato e usato per l'autenticazione |
Dettagli aggiuntivi su AD FS
Per gli accessi ad AD FS sono disponibili i dettagli seguenti:
- Nome server
- Catena IP
- Protocollo
Abilitazione di Log Analytics e Monitoraggio di Azure
Log Analytics può essere abilitato per gli accessi ad AD FS e può essere usato con qualsiasi altro componente integrato di Log Analytics, ad esempio Sentinel.
Nota
Gli accessi ad AD FS possono aumentare significativamente i costi di Log Analytics, a seconda della quantità di accessi ad AD FS nell'organizzazione. Per abilitare e disabilitare Log Analytics, selezionare la casella di controllo per il flusso.
Per abilitare Log Analytics per la funzionalità, passare al pannello Log Analytics e selezionare il flusso "ADFSSignIns". Questa selezione consentirà agli accessi ad AD FS di passare a Log Analytics.
Per accedere al modello aggiornato della cartella di lavoro di Monitoraggio di Azure, passare a "Modelli di Monitoraggio di Azure" e selezionare la cartella di lavoro "Accessi". Per altre informazioni sulle cartelle di lavoro, vedere Cartelle di lavoro di Monitoraggio di Azure.
Domande frequenti
Quali sono i tipi di accessi visualizzati? Il report di accesso supporta gli accessi tramite protocolli O-Auth, WS-Fed, SAML e WS-Trust.
In che modo vengono visualizzati diversi tipi di accessi nel report di accesso? Se viene eseguito un accesso SSO facile, verrà visualizzata una riga per l'accesso con un ID di correlazione. Se viene eseguita un'autenticazione a singolo fattore, due righe verranno popolate con lo stesso ID di correlazione, ma con due metodi di autenticazione diversi, ad esempio Forms, SSO. Nei casi di Multi Factor Authentication, saranno presenti tre righe con un ID di correlazione condiviso e tre metodi di autenticazione corrispondenti (ad esempio Forms, AzureMFA, Multifactor). In questo esempio particolare, il multifactoring in questo caso mostra che l'accesso Single Sign-On ha un'autenticazione a più fattori.
Quali sono gli errori visualizzati nel report? Per un elenco completo degli errori correlati ad AD FS popolati nel report di accesso e nelle descrizioni, vedere Informazioni di riferimento sul codice di errore della Guida di AD FS
Viene visualizzato "000000000-0000-0000-0000-000000000000" nella sezione "Utente" di un accesso. Cosa significa? Se l'accesso non è riuscito e il tentativo UPN non corrisponde a un UPN esistente, i campi "User", "Username" e "User ID" saranno "00000000-0000-0000-0000-000000000000" e "Sign-in Identifier" verranno popolati con il valore tentato immesso dall'utente. In questi casi, l'utente che tenta di accedere non esiste.
Come è possibile correlare gli eventi locali al report sugli accessi di Microsoft Entra? L'agente di Microsoft Entra Connessione Health per AD FS correla gli ID evento da AD FS dipendenti dalla versione del server. Gli eventi saranno disponibili nel log di sicurezza dei server AD FS.
Perché viene visualizzato NotSet o NotApplicable nell'ID applicazione/nome per alcuni accessi ad AD FS? Il report di accesso ad AD FS visualizzerà gli ID OAuth nel campo ID applicazione per gli accessi OAuth. Negli scenari di accesso WS-Fed, WS-Trust, l'ID applicazione sarà NotSet o NotApplicable e gli ID risorsa e gli identificatori relying party saranno presenti nel campo ID risorsa.
Perché i campi ID risorsa e Nome risorsa sono "Non impostati"? I campi ResourceId/Name saranno "NotSet" in alcuni casi di errore, ad esempio "Nome utente e password non corretti" e in accessi non riusciti basati su WSTrust.
Sono presenti problemi più noti con il report in anteprima? Il report presenta un problema noto per cui il campo "Requisito di autenticazione" nella scheda "Informazioni di base" verrà popolato come valore di autenticazione a singolo fattore per gli accessi ad AD FS indipendentemente dall'accesso. Inoltre, nella scheda Dettagli autenticazione verrà visualizzato "Primario o Secondario" nel campo Requisito, con una correzione in corso per distinguere i tipi di autenticazione primario o secondario.