Azure AD Connect Health を使用した AD FS の 監視

次のドキュメントは、Azure AD Connect Health を使用した AD FS インフラストラクチャの監視に固有のドキュメントです。 Azure AD Connect Health での Azure AD Connect (同期) の監視については、「 Azure AD Connect Health for Sync の使用」を参照してください。また、Azure AD Connect Health での Active Directory Domain Services の監視については、「AD DS での Azure AD Connect Health の使用」を参照してください。

AD FS のアラート

Azure AD Connect Health アラート セクションには、アクティブなアラートの一覧が表示されます。 各アラートには、関連情報、解決の手順、関連ドキュメントのリンクが含まれます。

アクティブまたは解決済みのアラートをダブルクリックすると、新しいブレードが開かれ、追加情報、アラートを解決するための手順、関連ドキュメントへのリンクなどが表示されます。 過去に解決されたアラートの履歴データも表示できます。

Azure AD Connect Health の [アラート] ページのスクリーンショット。アラートが選択されており、[アラートの詳細] ウィンドウが表示されています。

AD FS の利用状況分析

Azure AD Connect Health 利用状況分析では、フェデレーション サーバーの認証トラフィックを分析できます。 [利用状況分析] ボックスをダブルクリックすると、[利用状況分析] ブレードが開き、いくつかのメトリックとグループ分けが表示されます。

注意

AD FS で利用状況分析を使用するには、AD FS 監査が有効になっている必要があります。 詳細については、「 AD FS の監査の有効化」を参照してください。

Azure AD Connect Health の [利用状況分析] ページのスクリーンショット。

追加のメトリックの選択、時間範囲の指定、グループ分けの変更を行うには、利用状況の分析グラフを右クリックし、[グラフの編集] を選択します。 これで、時間範囲の指定、別のメトリックの選択、グループ分けの変更を行うことができます。 さまざまな "メトリック" に基づいて認証トラフィックの分布を確認し、次のセクションに示す "グループ化" という関連パラメーターを使用して各メトリックをグループ化できます。

メトリック: 合計要求数 - AD FS サーバーによって処理された要求の合計数。

グループ化 グループ化の意味と役立つ理由
All すべての AD FS サーバーによって処理された要求の合計数を示します。
Application 対象となる証明書利用者に基づいて、要求の合計をグループ化します。 このグループ化は、どのアプリケーションがトラフィック全体のどの程度の割合を受信しているかを把握するのに役立ちます。
サーバー 要求を処理したサーバーに基づいて、要求の合計をグループ化します。 このグループ化は、トラフィック全体の負荷分散を把握するのに役立ちます。
社内参加 社内参加している (既知の) デバイスから要求が行われたかどうかに基づいて、要求の合計をグループ化します。 このグループ化は、ID インフラストラクチャに対して未知のデバイスを使用してリソースがアクセスされているかどうかを把握するのに役立ちます。
認証方法 認証に使用された認証方法に基づいて、要求の合計をグループ化します。 このグループ化は、認証に使用される共通の認証方法を把握するのに役立ちます。 次の認証方法が考えられます。
  1. Windows 統合認証 (Windows)
  2. フォーム ベース認証 (フォーム)
  3. SSO (シングル サインオン)
  4. X509 証明書認証 (証明書)

  5. フェデレーション サーバーが SSO Cookie で要求を受け取る場合、その要求は SSO (シングル サインオン) と見なされます。 このような場合、Cookie が有効であれば、ユーザーは資格情報の提供を要求されずに、シームレスにアプリケーションにアクセスできます。 この動作は、フェデレーション サーバーによって保護される証明書利用者が複数ある場合でも共通です。
ネットワークの場所 ユーザーのネットワークの場所に基づいて、要求の合計をグループ化します。 イントラネットまたはエクストラネットを指定できます。 このグループ化は、イントラネットからのトラフィックとエクストラネットからのトラフィックの割合を把握するのに役立ちます。

メトリック: 失敗した要求の合計数 - フェデレーション サービスによって処理され、失敗した要求の合計数。 (このメトリックは、Windows Server 2012 R2 の AD FS でのみ使用できます)

グループ化 グループ化の意味と役立つ理由
エラーの種類 あらかじめ定義されたエラーの種類に基づいて、エラーの数を表示します。 このグループ化は、一般的なエラーの種類を把握するのに役立ちます。
  • "ユーザー名またはパスワードが正しくない": 正しくないユーザー名またはパスワードによるエラー。
  • "エクストラネット ロックアウト": エクストラネットからロックアウトされたユーザーから受信した要求によるエラー。
  • "パスワードの有効期限が切れている": ユーザーが期限切れのパスワードを使用してログインしたことによるエラー。
  • "無効なアカウント": ユーザーが無効なアカウントを使用してログインしたことによるエラー。
  • "デバイス認証": ユーザーがデバイス認証を使用した認証に失敗したことによるエラー。
  • "ユーザー証明書の認証": ユーザーが無効な証明書が原因で認証に失敗したことによるエラー。
  • "MFA": ユーザーが Multi-Factor Authentication を使用した認証に失敗したことによるエラー。
  • "その他の資格情報": "発行承認": 認可の失敗によるエラー。
  • "発行委任": 発行委任エラーによるエラー。
  • "トークンの承認": サード パーティの ID プロバイダーからのトークンを ADFS が拒否したことによるエラー。
  • "プロトコル": プロトコル エラーによるエラー。
  • "不明": あらゆるものに対応します。 定義済みのカテゴリに分類されない、その他すべてのエラー。
サーバー サーバーに基づいて、エラーをグループ化します。 このグループ分けは、サーバー間でのエラー分布を把握するのに役立ちます。 分布が均等でない場合は、サーバーが障害のある状態であることを示す可能性があります。
ネットワークの場所 要求のネットワークの場所 (イントラネットまたはエクストラネット) に基づいて、エラーをグループ化します。 このグループ分けは、エラーになる要求の種類を把握するのに役立ちます。
Application ターゲット アプリケーション (証明書利用者) に基づいて、エラーをグループ化します。 このグループ分けは、エラーの数が最も多いターゲット アプリケーションを把握するのに役立ちます。

メトリック: ユーザー数 - AD FS を使用して活発に認証を受けている一意のユーザーの平均数

グループ化 グループ化の意味と役立つ理由
All このメトリックは、選択したタイム スライスにフェデレーション サービスを使用するユーザー数の平均を示します。 ユーザーはグループ化されません。
平均は、選択したタイム スライスによって異なります。
Application ターゲット アプリケーション (証明書利用者) に基づいて、ユーザー数の平均をグループ化します。 このグループ分けは、どのアプリケーションを何人のユーザーが使用しているかを把握するのに役立ちます。

AD FS のパフォーマンスの監視

Azure AD Connect Health のパフォーマンスの監視は、メトリックに関する監視情報を提供します。 [監視] ボックスを選択すると、新しいブレードが開かれ、メトリックに関する詳細情報が表示されます。

Azure AD Connect Health のパフォーマンスの [監視] ページのスクリーンショット。

ブレードの上部にある [フィルター] を選択すると、サーバーごとにフィルター処理して個々のサーバーのメトリックを表示することができます。 メトリックを変更するには、監視ブレードの監視グラフを右クリックし、[グラフの編集] を選択します (または [グラフの編集] ボタンを選択します)。 開いた新しいブレードのドロップダウンから追加のメトリックを選択し、パフォーマンス データを表示する時間の範囲を指定します。

ユーザー名とパスワードを使用したログインに失敗したユーザー上位 50 名

AD FS サーバーで認証要求が失敗する一般的な理由の 1 つは、無効な資格情報、つまり、間違ったユーザー名かパスワードが要求に使用されていることです。 通常は、パスワードが複雑である場合、パスワードを忘れた場合、または入力ミスがあった場合に発生します。

一方で、AD FS サーバーで処理される要求の数が想定以上に増える原因は他にもあります。たとえば、アプリケーションにキャッシュされているユーザー資格情報の有効期限が切れた、よく使用されるパスワードを使用して悪意のあるユーザーがアカウントにサインインしようとした、などが挙げられます。 これらの 2 つの例は、要求の増加につながる可能性が高い理由です。

Azure AD Connect Health for AD FS では、無効なユーザー名またはパスワードでログインが失敗した上位 50 名のユーザーに関するレポートを表示できます。 このレポートは、ファーム内のすべての AD FS サーバーによって生成される監査イベントに基づいて作成されます。

[レポート] セクションのスクリーンショット。過去 30 日間において無効なパスワードを試した回数が表示されています。

このレポートから、次の情報を簡単に確認することができます。

  • 過去 30 日間に間違ったユーザー名/パスワードが原因で失敗した要求の合計数
  • 無効なユーザー名/パスワードでログインに失敗したユーザーの日単位の平均数

この部分をクリックすると、詳細な情報が記載されたメイン レポート ブレードが表示されます。 このブレードにはグラフがあり、ユーザー名またはパスワードが間違っている要求に関する基準を確立するために役立つトレンド情報が示されます。 さらに、上位 50 人のユーザーと過去 1 週間の失敗した試行回数の一覧が表示されます。 過去 1 週間の上位 50 人のユーザーを調べると、間違ったパスワードの試行の急増を特定するのに役立つ可能性があります。

このグラフには、次の情報が表示されます。

  • 無効なユーザー名/パスワードが原因で失敗したログインの日単位の合計数
  • ログインが失敗した一意のユーザーの日単位の合計数
  • 前回の要求のクライアント IP アドレス

Azure AD Connect Health ポータル

このレポートには、次の情報が表示されます。

レポート アイテム 説明
User ID 使用されたユーザー ID を示しています。 この値はユーザーが入力した内容です。ときどき、間違ったユーザー ID が使用されていることがあります。
失敗した試行の回数 そのユーザー ID で試行が失敗した回数の合計を示しています。 この表は、失敗した試行の回数が多いものから降順に並べ替えられています。
最後の失敗 最後に失敗したときのタイム スタンプを示しています。
最後のエラー IP 直近の無効な要求のクライアント IP アドレスを示します。 この値に複数の IP アドレスが表示されている場合は、転送クライアント IP アドレスとユーザーが最後に試行した要求 IP アドレスが含まれている可能性があります。

Note

このレポートは 12 時間ごとに自動的に更新され、その間に収集された新しい情報が反映されます。 そのため、直近の 12 時間に行われたログインの試行は、レポートに反映されていない可能性があります。