Microsoft Entra Password Protection の展開後、監視とレポートは重要なタスクです。 この記事では、各サービスが情報をログに記録する場所や、Microsoft Entra パスワード保護の使用方法を報告する方法など、さまざまな監視手法を理解するのに役立つ詳細について説明します。
監視とレポートは、イベント ログ メッセージまたは PowerShell コマンドレットを実行して実行されます。 DC エージェントとプロキシは、両方のログ イベント ログ メッセージを処理します。 以下で説明するすべての PowerShell コマンドレットは、プロキシ サーバーでのみ使用できます (AzureADPasswordProtection PowerShell モジュールを参照)。 DC エージェント ソフトウェアは PowerShell モジュールをインストールしません。
DC エージェント イベントのログ記録
各ドメイン コントローラーで、DC エージェント サービス ソフトウェアは、個々のパスワード検証操作 (およびその他の状態) の結果をローカル イベント ログに書き込みます。
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
DC エージェント管理ログは、ソフトウェアの動作に関する情報の主要なソースです。
トレース ログは既定でオフになっていることに注意してください。
さまざまな DC エージェント コンポーネントによってログに記録されるイベントは、次の範囲内にあります。
| コンポーネント | イベント ID の範囲 |
|---|---|
| DC エージェント パスワード フィルター dll | 10000-19999 |
| DC エージェント サービスのホスティング プロセス | 20000-29999 |
| DC エージェント サービス ポリシー検証ロジック | 30000-39999 |
DC エージェント管理者イベントログ
パスワード検証の結果イベント
各ドメイン コントローラーで、DC エージェント サービス ソフトウェアは、個々のパスワード検証の結果を DC エージェント管理者イベント ログに書き込みます。
パスワード検証操作を成功させるには、通常、DC エージェントのパスワード フィルター dll から 1 つのイベントがログに記録されます。 パスワード検証操作が失敗した場合、一般に、DC エージェント サービスと DC エージェント パスワード フィルター dll の 2 つのイベントがログに記録されます。
これらの状況をキャプチャする個別のイベントは、次の要因に基づいてログに記録されます。
- 特定のパスワードが設定されているか変更されているか。
- 特定のパスワードの検証に合格したか失敗したか。
- Microsoft グローバル ポリシー、組織ポリシー、または組み合わせによって検証が失敗したかどうか。
- 現在のパスワード ポリシーに対して監査のみのモードが現在有効または無効になっているかどうか。
パスワード検証関連の主要なイベントは次のとおりです。
| 出来事 | パスワードの変更 | パスワード セット |
|---|---|---|
| パス | 10014 | 10015 |
| 失敗 (顧客のパスワード ポリシーが原因) | 10016, 30002 | 10017, 30003 |
| 失敗 (Microsoft パスワード ポリシーが原因) | 10016, 30004 | 10017, 30005 |
| 失敗 (Microsoft と顧客のパスワード ポリシーが組み合わされているため) | 10016, 30026 | 10017, 30027 |
| 失敗 (ユーザー名が原因) | 10016, 30021 | 10017, 30022 |
| 監査のみの合格 (顧客のパスワード ポリシーに失敗) | 10024, 30008 | 10025, 30007 |
| 監査のみの合格 (Microsoft のパスワード ポリシーに失敗) | 10024, 30010 | 10025, 30009 |
| 監査専用パス (Microsoft と顧客のパスワード ポリシーを組み合わせて失敗した可能性があります) | 10024, 30028 | 10025, 30029 |
| 監査のみの合格 (ユーザー名のために失敗) | 10016, 30024 | 10017, 30023 |
上の表の「組み合わせポリシー」を参照するケースは、ユーザーのパスワードに Microsoft 禁止パスワード リストと顧客禁止パスワード リストの両方から少なくとも 1 つのトークンが含まれていることが判明した状況を指しています。
上の表の 「ユーザー名」を参照するケースは、ユーザーのパスワードにユーザーのアカウント名またはユーザーのフレンドリ名のいずれかが含まれていることが判明した状況を示しています。 どちらのシナリオでも、ポリシーが [強制] に設定されている場合はユーザーのパスワードが拒否されるか、ポリシーが監査モードの場合は渡されます。
イベントのペアが一緒にログに記録されると、両方のイベントが同じ CorrelationId を持つことによって明示的に関連付けられます。
PowerShell を使用したパスワード検証の概要レポート
Get-AzureADPasswordProtectionSummaryReport コマンドレットは、パスワード検証アクティビティの概要ビューを生成するために使用できます。 このコマンドレットの出力例は次のとおりです。
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
コマンドレットのレポートのスコープは、–Forest、-Domain、または –DomainController パラメーターのいずれかを使用して影響を受ける可能性があります。 パラメーターを指定しない場合は、–Forest を意味します。
注
DC エージェントを 1 つの DC にのみインストールする場合、Get-AzureADPasswordProtectionSummaryReport はその DC からのみイベントを読み取ります。 複数の DC からイベントを取得するには、各 DC に DC エージェントがインストールされている必要があります。
Get-AzureADPasswordProtectionSummaryReport コマンドレットは、DC エージェント管理者イベント ログに対してクエリを実行し、表示される各結果カテゴリに対応するイベントの合計数をカウントすることで機能します。 次の表に、各結果とそれに対応するイベント ID の間のマッピングを示します。
| Get-AzureADPasswordProtectionSummaryReport のプロパティ | 対応するイベント ID |
|---|---|
| パスワード変更が検証されました | 10014 |
| PasswordSetsValidated | 10015 |
| パスワード変更が拒否されました | 10016 |
| パスワード設定拒否 | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| パスワード変更エラー | 10012 |
| パスワード設定エラー | 10013 |
Get-AzureADPasswordProtectionSummaryReport コマンドレットは PowerShell スクリプト 形式で配布され、必要に応じて次の場所で直接参照できます。
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
注
このコマンドレットは、各ドメイン コントローラーへの PowerShell セッションを開くことで機能します。 成功するには、各ドメイン コントローラーで PowerShell リモート セッションのサポートを有効にする必要があり、クライアントには十分な特権が必要です。 PowerShell リモート セッションの要件の詳細については、PowerShell ウィンドウで 'Get-Help about_Remote_Troubleshooting' を実行してください。
注
このコマンドレットは、各 DC エージェント サービスの管理者イベント ログに対してリモートでクエリを実行することで機能します。 イベント ログに多数のイベントが含まれている場合、コマンドレットの完了に時間がかかる場合があります。 さらに、大規模なデータ セットの一括ネットワーク クエリは、ドメイン コントローラーのパフォーマンスに影響する可能性があります。 そのため、このコマンドレットは運用環境で慎重に使用する必要があります。
イベント ログ メッセージのサンプル
イベント ID 10014 (パスワードの変更に成功)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
イベント ID 10017 (パスワードの変更に失敗):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
イベント ID 30003 (パスワードの変更に失敗):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
イベント ID 10024 (監査専用モードのポリシーにより受け入れられたパスワード)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
イベント ID 30008 (監査専用モードのポリシーによりパスワードが受け入れられます)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
イベント ID 30001 (使用可能なポリシーがないためパスワードが受け入れられました)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
イベント ID 30006 (新しいポリシーが適用されます)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
イベント ID 30019 (Microsoft Entra パスワード保護が無効になっています)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
DC エージェント操作ログ
DC エージェント サービスでは、操作関連のイベントも次のログに記録されます。
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
DC エージェント トレース ログ
DC エージェント サービスでは、詳細なデバッグ レベルのトレース イベントを次のログに記録することもできます。
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
トレース ログは既定で無効になっています。
Warnung
有効にすると、トレース ログは大量のイベントを受信し、ドメイン コントローラーのパフォーマンスに影響を与える可能性があります。 そのため、この拡張ログは、問題がより詳細な調査を必要とする場合にのみ有効にしてから、最小限の時間だけ有効にする必要があります。
DC エージェントのテキストログ記録
DC エージェント サービスは、次のレジストリ値を設定することで、テキスト ログに書き込むよう構成できます。
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
既定では、テキスト ログは無効になっています。 この値を変更して有効にするには、DC エージェント サービスの再起動が必要です。 有効にすると、DC エージェント サービスは次の場所にあるログ ファイルに書き込みます。
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
ヒント
テキスト ログは、トレース ログに記録できるのと同じデバッグ レベルのエントリを受け取りますが、通常は確認と分析が簡単な形式です。
Warnung
有効にすると、このログは大量のイベントを受信し、ドメイン コントローラーのパフォーマンスに影響を与える可能性があります。 そのため、この拡張ログは、問題がより詳細な調査を必要とする場合にのみ有効にしてから、最小限の時間だけ有効にする必要があります。
DC エージェントのパフォーマンスの監視
DC エージェント サービス ソフトウェアは、 Microsoft Entra Password Protection という名前のパフォーマンス カウンター オブジェクトをインストールします。 現在、次のパフォーマンス カウンターを使用できます。
| パフォーマンス カウンター名 | 説明 |
|---|---|
| 処理されたパスワード | このカウンターには、最後の再起動以降に処理された (受け入れられたか拒否された) パスワードの合計数が表示されます。 |
| 受け入れられたパスワード | このカウンターには、前回の再起動以降に受け入れられたパスワードの合計数が表示されます。 |
| パスワードが拒否されました | このカウンターには、前回の再起動以降に拒否されたパスワードの合計数が表示されます。 |
| 進行中のパスワード フィルター要求 | このカウンターには、現在進行中のパスワード フィルター要求の数が表示されます。 |
| パスワード フィルター要求のピーク | このカウンターには、前回の再起動以降の同時パスワード フィルター要求のピーク数が表示されます。 |
| パスワード フィルター要求エラー | このカウンターには、前回の再起動以降にエラーが発生したために失敗したパスワード フィルター要求の合計数が表示されます。 Microsoft Entra Password Protection DC エージェント サービスが実行されていない場合、エラーが発生する可能性があります。 |
| パスワード フィルター要求/秒 | このカウンターには、パスワードの処理速度が表示されます。 |
| パスワード フィルター要求の処理時間 | このカウンターには、パスワード フィルター要求の処理に必要な平均時間が表示されます。 |
| パスワード フィルター要求の処理時間のピーク | このカウンターには、前回の再起動以降のピーク時のパスワード フィルター要求の処理時間が表示されます。 |
| 監査モードのため、パスワードが受け入れられます。 | このカウンターには、通常は拒否されたが、パスワード ポリシーが監査モード (前回の再起動以降) に構成されたために受け入れられたパスワードの合計数が表示されます。 |
DC エージェントの検出
Get-AzureADPasswordProtectionDCAgent コマンドレットは、ドメインまたはフォレストで実行されているさまざまな DC エージェントに関する基本情報を表示するために使用できます。 この情報は、実行中の DC エージェント サービスによって登録された serviceConnectionPoint オブジェクトから取得されます。
このコマンドレットの出力例は次のとおりです。
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
さまざまなプロパティは、各 DC エージェント サービスによって約 1 時間ごとに更新されます。 データは引き続き Active Directory レプリケーションの待機時間の影響を受けます。
コマンドレットのクエリのスコープは、–Forest パラメーターまたは –Domain パラメーターを使用して影響を受ける可能性があります。
HeartbeatUTC 値が古くなった場合、これは、そのドメイン コントローラー上の Microsoft Entra Password Protection DC エージェントが実行されていないか、アンインストールされているか、コンピューターが降格され、ドメイン コントローラーでなくなった現象である可能性があります。
PasswordPolicyDateUTC の値が古くなった場合、これは、そのマシン上の Microsoft Entra Password Protection DC エージェントが正常に動作しない現象である可能性があります。
使用可能な DC エージェントの新しいバージョン
DC エージェント サービスは、新しいバージョンの DC エージェント ソフトウェアが使用可能であることを検出すると、次に例を示す 30034 警告イベントを操作ログに記録します。
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
上記のイベントでは、新しいソフトウェアのバージョンは指定されていません。 その情報については、イベント メッセージのリンクに移動する必要があります。
注
上記のイベント メッセージの "autoupgrade" への参照にもかかわらず、DC エージェント ソフトウェアでは現在、この機能はサポートされていません。
プロキシ サービスイベントログ
プロキシ サービスは、次のイベント ログに最小限のイベント セットを出力します。
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
トレース ログは既定でオフになっていることに注意してください。
Warnung
有効にすると、トレース ログは大量のイベントを受信し、プロキシ ホストのパフォーマンスに影響を与える可能性があります。 そのため、このログは、問題がより詳細な調査を必要とする場合にのみ有効にし、その後、最小限の時間だけ有効にする必要があります。
イベントは、次の範囲を使用して、さまざまなプロキシ コンポーネントによってログに記録されます。
| コンポーネント | イベント ID の範囲 |
|---|---|
| プロキシ サービスのホスティング プロセス | 10000-19999 |
| プロキシ サービスのコア ビジネス ロジック | 20000-29999 |
| PowerShell コマンドレット | 30000-39999 |
プロキシ サービス テキスト ログ
プロキシ サービスは、次のレジストリ値を設定することで、テキスト ログに書き込むよう構成できます。
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1 (REG_DWORD 値)
既定では、テキスト ログは無効になっています。 この値を変更して有効にするには、プロキシ サービスを再起動する必要があります。 有効にすると、プロキシ サービスは次の場所にあるログ ファイルに書き込みます。
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
ヒント
テキスト ログは、トレース ログに記録できるのと同じデバッグ レベルのエントリを受け取りますが、通常は確認と分析が簡単な形式です。
Warnung
有効にすると、このログは大量のイベントを受信し、マシンのパフォーマンスに影響を与える可能性があります。 そのため、この拡張ログは、問題がより詳細な調査を必要とする場合にのみ有効にしてから、最小限の時間だけ有効にする必要があります。
PowerShell コマンドレットのログ記録
状態の変化 (たとえば、Register-AzureADPasswordProtectionProxy) をもたらす PowerShell コマンドレットは、通常、結果イベントを操作ログに記録します。
さらに、ほとんどの Microsoft Entra Password Protection PowerShell コマンドレットは、次の場所にあるテキスト ログに書き込みます。
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
コマンドレット エラーが発生し、原因や解決策が容易に明らかでない場合は、これらのテキスト ログも参照される可能性があります。
プロキシの検出
Get-AzureADPasswordProtectionProxy コマンドレットは、ドメインまたはフォレストで実行されているさまざまな Microsoft Entra パスワード保護プロキシ サービスに関する基本情報を表示するために使用できます。 この情報は、実行中のプロキシ サービスによって登録された serviceConnectionPoint オブジェクトから取得されます。
このコマンドレットの出力例は次のとおりです。
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
さまざまなプロパティは、各プロキシ サービスによって約 1 時間ごとに更新されます。 データは引き続き Active Directory レプリケーションの待機時間の影響を受けます。
コマンドレットのクエリのスコープは、–Forest パラメーターまたは –Domain パラメーターを使用して影響を受ける可能性があります。
HeartbeatUTC 値が古くなった場合は、そのマシン上の Microsoft Entra パスワード保護プロキシが実行されていないか、アンインストールされている現象である可能性があります。
使用可能なプロキシ エージェントの新しいバージョン
プロキシ サービスは、新しいバージョンのプロキシ ソフトウェアが使用可能であることを検出すると、次に例を示す 20002 警告イベントを操作ログに記録します。
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
上記のイベントでは、新しいソフトウェアのバージョンは指定されていません。 その情報については、イベント メッセージのリンクに移動する必要があります。
このイベントは、プロキシ エージェントが自動アップグレードを有効にして構成されている場合でも生成されます。
次のステップ
Microsoft Entra パスワード保護のトラブルシューティング
グローバルおよびカスタムの禁止パスワード リストの詳細については、「無効なパスワードの禁止