Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Logowania usług AD FS można teraz zintegrować z raportem logowania firmy Microsoft Entra przy użyciu programu Connect Health. Raport logowań Microsoft Entra zawiera informacje o tym, kiedy użytkownicy, aplikacje i zarządzane zasoby logują się do Microsoft Entra ID i uzyskują dostęp do zasobów.
Program Connect Health dla agenta usług AD FS koreluje wiele identyfikatorów zdarzeń z usług AD FS, zależnych od wersji serwera, aby podać informacje o żądaniu i szczegóły błędu, jeśli żądanie zakończy się niepowodzeniem. Te informacje są skorelowane ze schematem raportu logowania Microsoft Entra i wyświetlane w interfejsie użytkownika raportu logowania Microsoft Entra. Alongside the report, a new Log Analytics stream is available with the AD FS data and a new Azure Monitor Workbook template. Szablon można używać i modyfikować do szczegółowej analizy scenariuszy, takich jak blokady kont usług AD FS, nieprawidłowe próby hasła i skoki nieoczekiwanych prób logowania.
Wymagania wstępne
- Program Microsoft Entra Connect Health dla usług AD FS został zainstalowany i uaktualniony do najnowszej wersji (3.1.95.0 lub nowszej).
- Reports Reader role to view the Microsoft Entra sign-ins
Jakie dane są wyświetlane w raporcie?
Dostępne dane odwzorowują te same dane dostępne dla logowań Microsoft Entra. Pięć kart z informacjami jest dostępnych w oparciu o typ logowania, czy to Microsoft Entra ID, czy AD FS. Program Connect Health koreluje zdarzenia z usług AD FS, zależne od wersji serwera i dopasuje je do schematu usług AD FS.
Logowania użytkowników
Each tab in the sign-ins blade shows the default values below:
- Data logowania
- Identyfikator żądania
- Nazwa użytkownika lub identyfikator użytkownika
- Stan logowania
- Adres IP urządzenia używanego do logowania
- Identyfikator logowania
Informacje o metodzie uwierzytelniania
Na karcie uwierzytelniania mogą być wyświetlane następujące wartości. Metoda uwierzytelniania jest pobierana z dzienników inspekcji usług AD FS.
| Metoda uwierzytelniania | Description |
|---|---|
| Forms | Uwierzytelnianie nazwy użytkownika/hasła |
| Windows | Uwierzytelnianie zintegrowane z systemem Windows |
| Certyfikat | Uwierzytelnianie za pomocą certyfikatów SmartCard/VirtualSmart |
| WindowsHelloForBusiness | To pole służy do uwierzytelniania za pomocą Windows Hello dla firm. (Uwierzytelnianie za pomocą usługi Microsoft Passport) |
| Urządzenie | Wyświetlane, jeśli uwierzytelnianie urządzenia jest zaznaczone jako "Podstawowe" Uwierzytelnianie z intranetu/ekstranetu i Uwierzytelnianie urządzenia jest wykonywane. W tym scenariuszu nie ma oddzielnego uwierzytelniania użytkownika. |
| Federated | AD FS didn't do the authentication but sent it to a third party identity provider |
| SSO | Jeśli użyto tokenu logowania jednokrotnego, to pole jest widoczne. If the SSO has an MFA, it shows as Multifactor |
| Multifactor | Jeśli token logowania jednokrotnego ma uwierzytelnianie wieloskładnikowe i został on użyty do uwierzytelniania, to pole jest wyświetlane jako Multifactor |
| Uwierzytelnianie wieloskładnikowe Microsoft Entra | Uwierzytelnianie wieloskładnikowe Microsoft Entra zostało wybrane jako dodatkowy dostawca uwierzytelniania w usłudze AD FS i zostało użyte do uwierzytelniania. |
| ADFSExternalAuthenticationProvider | To pole dotyczy sytuacji, w której dostawca zewnętrzny został zarejestrowany i używany do uwierzytelniania. |
Dodatkowe szczegóły usług AD FS
Następujące szczegóły są dostępne dla logowań AD FS:
- Nazwa serwera
- Łańcuch adresów IP
- Protokół
Włączanie usługi Log Analytics i usługi Azure Monitor
Usługę Log Analytics można włączyć dla logowań do usług AD FS i można jej używać z innymi zintegrowanymi składnikami usługi Log Analytics, takimi jak Sentinel.
Uwaga
Logowania do usług AD FS mogą znacznie zwiększyć koszt usługi Log Analytics, w zależności od ilości logów do usług AD FS w organizacji. Aby włączyć i wyłączyć usługę Log Analytics, zaznacz pole wyboru strumienia.
To enable Log Analytics for the feature, navigate to the Log Analytics blade and select "ADFSSignIns" stream. This selection allows AD FS sign-ins to flow into Log Analytics.
To access the updated Azure Monitor Workbook template, navigate to "Azure Monitor Templates", and select the "sign-ins" Workbook. Aby uzyskać więcej informacji na temat skoroszytów, odwiedź stronę Skoroszyty usługi Azure Monitor.
Często zadawane pytania
Jakie są typy logów, które mogą być widoczne? Raport logowania obsługuje logowania za pośrednictwem protokołów O-Auth, WS-Fed, SAML i WS-Trust.
How are different types of sign-ins shown in the sign-in report? If a Seamless SSO sign-in is performed, there is one row for the sign-in with one correlation ID. Jeśli jest wykonywane uwierzytelnianie jednoskładnikowe, dwa wiersze są wypełniane tym samym identyfikatorem korelacji, ale przy użyciu dwóch różnych metod uwierzytelniania (czyli formularzy, logowania jednokrotnego). In cases of multifactor authentication, there are three rows with a shared correlation ID and three corresponding Authentication Methods (that is, Forms, Microsoft Entra multifactor authentication, Multifactor). In this particular example, the multifactor in this case shows that the SSO has an MFA.
Jakie są błędy, które widzę w raporcie?
For a full list of AD FS related errors that are populated in the sign-in report and descriptions, visit Microsoft Entra Connect Health Alert Catalog
Widzę "00000000-0000-0000-0000-000000000000" w sekcji "Użytkownik" podczas logowania. Co to oznacza? Jeśli logowanie nie powiodło się, a podjęta próba UPN nie jest zgodna z istniejącą nazwą UPN, pola "User", "Username" i "User ID" zostaną wypełnione "00000000-0000-0000-0000-000000000000", a "Identyfikator logowania" będzie zawierał wartość, którą użytkownik wprowadził. W takich przypadkach użytkownik próbujący się zalogować nie istnieje.
Jak skorelować zdarzenia lokalne z raportem logowania w Microsoft Entra? Agent Microsoft Entra Connect Health dla usług AD FS koreluje identyfikatory zdarzeń z AD FS w zależności od wersji serwera. Zdarzenia są dostępne w dzienniku zabezpieczeń serwerów usług AD FS.
Why do I see NotSet or NotApplicable in the Application ID/Name for some AD FS sign-ins? The AD FS sign-in report displays OAuth Ids in the Application ID field for OAuth sign-ins. In the WS-Fed, WS-Trust sign-in scenarios, the application ID is NotSet or NotApplicable and the Resource IDs and Relying Party identifiers are present in the Resource ID field.
Why do I see Resource ID and Resource Name fields as "Not Set"? The ResourceId/Name fields are "NotSet" in some error cases, such as "Username and Password incorrect" and in WSTrust based failed sign-ins.
Czy istnieją więcej znanych problemów z raportem w wersji zapoznawczej? Raport ma znany problem polegający na tym, że pole "Wymaganie uwierzytelniania" na karcie "Informacje podstawowe" jest wypełniane jako wartość uwierzytelniania jednoskładnikowego dla logowań usług AD FS niezależnie od logowania. Ponadto na karcie Szczegóły uwierzytelniania jest wyświetlana wartość "Podstawowa lub Pomocnicza" w polu Wymaganie z poprawką w toku w celu odróżnienia typów uwierzytelniania podstawowego lub pomocniczego.