Agentes do Microsoft Entra Connect Health para AD FS
Neste artigo, você aprende a instalar e configurar os agentes do Microsoft Entra Connect Health. A documentação a seguir é específica para a instalação e o monitoramento da infraestrutura do AD FS com o Microsoft Entra Connect Health. Para obter informações sobre o monitoramento da integridade do Microsoft Entra Connect (Sync) com o Microsoft Entra Connect Health, consulte Usando o Microsoft Entra Connect Health para Sincronizar. Além disso, para obter informações sobre o monitoramento do Active Directory Domain Services com o Microsoft Entra Connect Health, consulte Usando o Microsoft Entra Connect Health com o AD DS.
Saiba como baixar os agentes.
Observação
O Microsoft Entra Connect Health não está disponível na nuvem soberana da China.
Requisitos
A tabela a seguir lista os requisitos para uso do Microsoft Entra Connect Health:
| Requisito | Descrição |
|---|---|
| Você tem uma assinatura do Microsoft Entra ID P1 ou P2. | O Microsoft Entra Connect Health é um recurso do Microsoft Entra ID P1 ou P2. Para obter mais informações, consulte Inscrever-se para Microsoft Entra ID P1 ou P2. Para iniciar uma avaliação gratuita de 30 dias, confira Iniciar uma avaliação. |
| Você é um administrador global no Microsoft Entra ID. | Atualmente, somente contas de Administrador Global podem instalar e configurar agentes de integridade. Para obter mais informações, confira Gerenciar seu diretório do Microsoft Entra. Usando o RBAC do Azure (controle de acesso baseado em função do Azure), você pode permitir que outros usuários da sua organização acessem o Microsoft Entra Connect Health. Para obter mais informações, confira RBAC do Azure para Microsoft Entra Connect Health. Importante: use uma conta corporativa ou de estudante para instalar os agentes. Você não pode usar uma conta Microsoft para instalar os agentes. Para obter mais informações, confira Inscrever-se no Azure como uma organização. |
| O agente do Microsoft Entra Connect Health é instalado em cada servidor de destino. | Os agentes de integridade devem ser instalados e configurados nos servidores de destino para que possam receber dados e fornecer recursos de monitoramento e análise. Por exemplo, para obter dados da sua infraestrutura de Serviços de Federação do Active Directory (AD FS), você deve instalar o agente no servidor de AD FS e no servidor Proxy de Aplicativo Web. Da mesma forma, para obter dados da sua infraestrutura local dos Serviços de Domínio para AD, você deve instalar o agente nos controladores de domínio. |
| Os pontos de extremidade de serviço do Azure têm conectividade de saída. | Durante a instalação e o runtime, o agente requer conectividade com os pontos de extremidade de serviço do Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, adicione os pontos de extremidade de conectividade de saída à uma lista de permitidos. |
| A conectividade de saída é baseada em endereços IP. | Para obter informações sobre filtragem de firewall com base em endereços IP, confira intervalos de IP do Azure. |
| A inspeção de TLS para tráfego de saída foi filtrada ou desabilitada. | A etapa de registro do agente ou as operações de carregamento de dados podem falhar se houver inspeção de TLS ou encerramento do tráfego de saída na camada de rede. Para obter mais informações, confira Configurar inspeção do TLS. |
| As portas de firewall no servidor estão executando o agente. | O agente requer que as seguintes portas de firewall sejam abertas para que ele possa se comunicar com os pontos de extremidade de serviço do Microsoft Entra Connect Health: - Porta TCP 443 - Porta TCP 5671 A versão mais recente do agente não requer a porta 5671. Atualize para a versão mais recente para que apenas a porta 443 seja necessária. Para obter mais informações, confira Portas e protocolos necessários à identidade híbrida. |
| Se a segurança aprimorada do Internet Explorer estiver habilitada, permita sites especificados. | Se a segurança aprimorada do Internet Explorer estiver habilitada, permita os seguintes sites no servidor em que o agente está instalado: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - O servidor de federação da sua organização que é de confiança para o Microsoft Entra ID (por exemplo, https://sts.contoso.com). Para obter mais informações, confira Como configurar o Internet Explorer. Se você tiver um proxy na sua rede, confira a nota que aparece ao final desta tabela. |
| O PowerShell versão 5.0 ou posterior está instalado. | O Windows Server 2016 inclui o PowerShell versão 5.0. |
Importante
O Windows Server Core não dá suporte à instalação do agente do Microsoft Entra Connect Health.
Observação
Se você tiver um ambiente altamente bloqueado e restrito, será necessário adicionar mais URLs do que as URLs que a tabela lista para a segurança aprimorada do Internet Explorer. Além disso, adicione as URLs listadas na tabela da próxima seção.
Novas versões do agente e da atualização automática
Se uma nova versão do agente de integridade for lançada, todos os agentes instalados existentes serão atualizados automaticamente.
Conectividade de saída para pontos de extremidade de serviço do Azure
Durante a instalação e o runtime, o agente precisa de conectividade com os pontos de extremidade de serviço do Microsoft Entra ID Connect Health. Se os firewalls bloquearem a conectividade de saída, verifique se as URLs da tabela a seguir não estão bloqueadas por padrão.
Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Em vez disso, permita essas ações assim como faria com outros tráfegos da Internet.
Essas URLs permitem a comunicação com os pontos de extremidade de serviço do Microsoft Entra Connect Health. Mais adiante neste artigo, você aprenderá a verificar a conectividade de saída usando Test-AzureADConnectHealthConnectivity.
| Ambiente de domínio | Pontos de extremidade de serviço do Azure exigidos |
|---|---|
| Público geral | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Porta 5671 (Se 5671 estiver bloqueada, o agente voltará para 443, mas recomendamos que você use a porta 5671. Esse ponto de extremidade não é necessário na versão mais recente do agente.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto de extremidade é utilizado apenas para fins de descoberta durante o registo.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto de extremidade é utilizado apenas para fins de descoberta durante o registo.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Baixar os agentes
Para baixar e instalar o agente do Microsoft Entra Connect Health:
- Verifique se você atende aos requisitos para instalar o Microsoft Entra Connect Health.
- Introdução ao uso do Microsoft Entra Connect Health para AD FS:
- Introdução ao uso do Microsoft Entra Connect Health para sincronização:
- Baixe e instale a versão mais recente do Microsoft Entra Connect. O agente de integridade para Sincronização será instalado como parte da instalação do Microsoft Entra Connect (versão 1.0.9125.0 ou superior).
- Comece a usar o Microsoft Entra Connect Health para Serviços de Domínio do AD:
Instalar o agente do AD FS
Observação
O servidor do AD FS deve ser separado do seu servidor de sincronização. Não instale o agente do AD FS no servidor de sincronização.
Observação
O agente de integridade para Sincronização será instalado como parte da instalação do Microsoft Entra Connect (versão 1.0.9125.0 ou superior). Se você tentar instalar uma versão anterior do agente de integridade para AD FS no servidor Microsoft Entra Connect, receberá um erro. Se for necessário instalar o agente de integridade para o AD FS no computador, você deverá baixar a versão mais recente e desinstalar a versão que foi instalada durante a instalação do Microsoft Entra Connect.
Antes de instalar o agente, verifique se o nome de host do servidor do AD FS é exclusivo e não está presente no serviço do AD FS.
Para iniciar a instalação do agente, dê um clique duplo no arquivo .exe que você baixou. No primeiro diálogo, selecione Instalar.
Quando for solicitado, entre usando uma conta do Microsoft Entra que tenha permissões para registrar o agente. Por padrão, a conta de Administrador de Identidade Híbrida tem permissões.
Depois de entrar, o processo de instalação será concluído e você poderá fechar a janela.
Neste ponto, os serviços de agente devem ser iniciados para automaticamente permitir que o agente carregue com segurança os dados necessários para o serviço de nuvem.
Para verificar se o agente foi instalado, procure os serviços a seguir no servidor. Se você tiver concluído a configuração, eles já deverão estar em execução. Caso contrário, eles ficarão parados até a conclusão da configuração.
- Atualizador do Agente do Microsoft Entra Connect
- Agente do Microsoft Entra Connect Health
Habilitar a auditoria do AD FS
Observação
Esta seção se aplica apenas aos servidores do AD FS. Você não precisa completar estas etapas nos servidores de Proxy de Aplicativo Web.
O recurso de Análise de Uso precisa coletar e analisar dados, então o agente do Microsoft Entra Connect Health precisa das informações nos logs de auditoria do AD FS. Esses logs não são habilitados por padrão. Use os procedimentos a seguir para habilitar a auditoria do AD FS e localizar os logs de auditoria do AD FS em seus servidores do AD FS.
Para habilitar a auditoria do AD FS
Na Tela Inicial, abra o Gerenciador do Servidor e depois escolha Política de segurança local. Ou, na barra de tarefas, abra o Gerenciador do Servidor e selecione Ferramentas/Política de segurança local.
Vá para a pasta Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário. Clique duas vezes em Gerar auditorias de segurança.
Na guia Configuração de segurança local, verifique se a conta de serviço AD FS está listada. Se não estiver listado, selecione Adicionar Usuário ou Grupo e adicione a conta de serviço do AD FS à lista. Depois, selecione OK.
Para ativar a auditoria, abra uma janela do prompt de comando como administrador e execute o seguinte comando:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableFeche a Política de Segurança Local.
Importante
As etapas restantes são exigidas apenas para servidores de AD FS primários.
Habilitar as propriedades de auditoria no servidor AD FS
- Abra o snap-in Gerenciamento do AD FS. (Em Gerenciador do Servidor, selecione Ferramentas>Gerenciamento de AD FS.)
- No painel Ações, clique em Editar Propriedades do Serviço de Federação.
- Na caixa de diálogo Propriedades do Serviço de Federação, selecione a guia Eventos.
- Marque as caixas de seleção Auditorias bem sucedidas e Auditorias com falha e selecione OK. As Auditorias bem sucedidas e Auditorias com falha devem estar habilitadas por padrão.
Habilitar propriedades de auditoria no servidor AD FS
Importante
Essa etapa é necessária apenas para servidores AD FS primários.
Abra uma janela do PowerShell e execute o seguinte comando:
Set-AdfsProperties -AuditLevel Verbose
O nível de auditoria "básico" é habilitado por padrão. Para obter mais informações, confira Aprimoramento de auditoria do AD FS no Windows Server 2016.
Verificar o registro detalhado
Para verificar se o registro detalhado está habilitado, faça o seguinte.
Abra uma janela do PowerShell e execute o seguinte comando:
Get-AdfsPropertiesVerifique se o Auditlevel está definido como verboso
Verificar as configurações de auditoria da conta de serviço do AD FS
- Vá para a pasta Configurações de Segurança\Políticas Locais\Atribuição de Direitos do Usuário. Clique duas vezes em Gerar auditorias de segurança.
- Na guia Configuração de Segurança Local, verifique se a conta de serviço AD FS está listada. Se não estiver listado, selecione Adicionar Usuário ou Grupo e adicione a conta de serviço do AD FS à lista. Depois, selecione OK.
- Feche a Política de Segurança Local.
Analise os registros de auditoria do AD FS
Depois de ativar os logs de auditoria do AD FS, você poderá verificar os logs de auditoria do AD FS usando o Visualizador de Eventos.
Abra o Visualizador de Eventos.
Vá para Logs do Windows e selecione Segurança.
No painel direito, selecione Filtrar Logs Atuais.
Em Origens do evento, selecione Auditoria do AD FS.
Você pode obter uma lista completa dos eventos do AD FS aqui.
Para obter mais informações sobre os logs de auditoria, confira Perguntas sobre operações.
Aviso
Uma política de grupo pode desabilitar a auditoria do AD FS. Se a auditoria do AD FS for desabilitada, a análise de uso sobre as atividades de logon ficará indisponível. Verifique se você não tem uma política de grupo que desabilita a auditoria do AD FS.
As tabelas a seguir fornecem uma lista de eventos comuns que correspondem a eventos no nível de auditoria
Eventos básicos no nível de auditoria
| ID | Nome do evento | Descrição do evento |
|---|---|---|
| 1200 | AppTokenSuccessAudit | O Serviço de Federação emitiu um token válido. |
| 1201 | AppTokenFailureAudit | O Serviço de Federação falhou ao emitir um token válido. |
| 1202 | FreshCredentialSuccessAudit | O Serviço de Federação validou uma nova credencial. |
| 1203 | FreshCredentialFailureAudit | O Serviço de Federação falhou ao validar uma nova credencial. |
Para obter mais informações, confira a lista completa de eventos do AD FS aqui.
Eventos detalhados no nível de auditoria
| ID | Nome do evento | Descrição do evento |
|---|---|---|
| 299 | TokenIssuanceSuccessAudit | Um token foi emitido com sucesso para a parte confiável. |
| 403 | RequestReceivedSuccessAudit | Uma solicitação HTTP foi recebida. Confira a norma de auditoria 510 com a mesma ID de Instância para cabeçalhos. |
| 410 | RequestContextHeadersSuccessAudit | Os cabeçalhos de contexto de solicitação a seguir estão presentes |
| 411 | SecurityTokenValidationFailureAudit | A validação do token falhou. Confira a exceção interna para obter mais detalhes. |
| 412 | AuthenticationSuccessAudit | Um token do tipo "%3" para a parte confiável "%4" foi autenticado com sucesso. Confira a norma de auditoria 501 com a mesma ID de Instância para a identidade do chamador. |
| 500 | IssuedIdentityClaims | Mais informações sobre a entrada do evento com a ID de Instância %1. Podem existir mais eventos com a mesma ID de Instância com mais informações. |
| 501 | CallerIdentityClaims | Mais informações sobre a entrada do evento com a ID de Instância %1. Podem existir mais eventos com a mesma ID de Instância com mais informações. |
Para obter mais informações, confira a lista completa de eventos do AD FS aqui.
Testar a conectividade com o serviço Microsoft Entra Connect Health
Ocasionalmente, o agente do Microsoft Entra Connect Health perde a conectividade com o serviço Microsoft Entra Connect Health. As causas dessa perda de conectividade podem incluir problemas de rede, problemas de permissão e vários outros problemas.
Se o agente não puder enviar dados para o serviço Microsoft Entra Connect Health por mais de duas horas, o seguinte alerta será exibido no portal: Os dados do Serviço de Integridade não estão atualizados.
Você pode descobrir se o agente do Microsoft Entra Connect Health afetado consegue carregar dados no serviço Microsoft Entra Connect Health executando o seguinte comando do PowerShell:
Test-AzureADConnectHealthConnectivity -Role ADFS
O parâmetro Role usa os seguintes valores:
ADFSSyncADDS
Observação
Para usar a ferramenta de conectividade, primeiro você deve registrar o agente. Se não for possível concluir o registro do agente, verifique se você atende a todos os requisitos do Microsoft Entra Connect Health. A conectividade é testada por padrão durante o registro do agente.
Monitorar o AD FS utilizando o Microsoft Entra Connect Health
Alertas do AD FS
A seção Alertas do Microsoft Entra Connect Health fornece a lista de alertas ativos. Cada alerta inclui informações relevantes, etapas de resolução e links para documentação relacionada.
Clique duas vezes em um alerta ativo ou resolvido para abrir uma nova folha com as informações adicionais, as etapas a serem seguidas para resolver o alerta e os links para documentação relevante. Você também pode exibir dados históricos sobre alertas que foram resolvidas no passado.
Análises de Uso do AD FS
O Microsoft Entra Connect Health Usage Analytics analisa o tráfego de autenticação dos seus servidores de federação. Você pode clicar duas vezes na caixa de análise de uso para abrir a folha de análise de uso, que mostra várias métricas e agrupamentos.
Observação
Para usar a análise de uso com o AD FS, você deve garantir que a auditoria do AD FS esteja habilitada. Para obter mais informações, consulte Habilitar a auditoria do AD FS.
Para selecionar métricas adicionais, especifique um intervalo de tempo ou, para alterar o agrupamento, clique no gráfico de análise de uso e selecione Editar gráfico. Em seguida, você pode especificar o intervalo de tempo, selecionar uma métrica diferente e alterar o agrupamento. Você pode exibir a distribuição do tráfego de autenticação com base em diferentes “métricas” e agrupar cada métrica usando parâmetros relevantes "agrupar por" descritos na seção a seguir:
Métrica: Total de solicitações – Número total de solicitações processadas por servidores AD FS.
| Group By | O que significa que o agrupamento e por que ele é útil? |
|---|---|
| Tudo | Mostra a contagem do número total de solicitações processadas por todos os servidores AD FS. |
| Aplicativo | Agrupa o total de solicitações com base na terceira parte confiável de destino. Esse agrupamento é útil para entender qual aplicativo está recebendo o percentual do tráfego total. |
| Servidor | Agrupa o total de solicitações com base no servidor que processa a solicitação. Esse agrupamento é útil para entender a distribuição de carga do tráfego total. |
| Ingresso no local | Agrupa o total de solicitações com base em se as solicitações são provenientes de dispositivos que são ingressados no local (conhecido). Esse agrupamento é útil para compreender se os recursos são acessados usando dispositivos desconhecidos para a infraestrutura de identidades. |
| Método de autenticação | Agrupa o total de solicitações com base no método de autenticação usado para autenticação. Esse agrupamento é útil para entender o método de autenticação comum que é usado para autenticação. Estes são os métodos de autenticação possíveis
Se os servidores de federação receberem a solicitação com um Cookie SSO, essa solicitação será contabilizada como SSO (logon único). Nesses casos, se o cookie for válido, o usuário não precisa fornecer credenciais e obtém acesso contínuo ao aplicativo. Esse comportamento é comum se você tiver várias partes confiáveis protegidas pelos servidores da Federação. |
| Local de rede | Agrupa o total de solicitações com base no local de rede do usuário. Pode ser qualquer intranet ou extranet. Esse agrupamento é útil para saber qual é a porcentagem do tráfego que está vindo da intranet em comparação com a extranet. |
Métrica: Total de solicitações com falha – O número total de solicitações com falha processadas pelo serviço de federação. (Essa métrica só está disponível no AD FS para o Windows Server 2012 R2)
| Group By | O que significa que o agrupamento e por que ele é útil? |
|---|---|
| Tipo de erro | Mostra o número de erros com base nos tipos de erro predefinidos. Esse agrupamento é útil para entender os tipos comuns de erros.
|
| Servidor | Agrupa os erros com base no servidor. Esse agrupamento é útil para entender a distribuição de erros entre servidores. A distribuição desigual poderia ser um indicador de um servidor em um estado com falha. |
| Local de rede | Agrupa os erros com base no local de rede das solicitações (intranet versus extranet). Esse agrupamento é útil para entender que tipo de solicitações está falhando. |
| Aplicativo | Agrupa as falhas com base no aplicativo de destino (terceira parte confiável). Esse agrupamento é útil para entender qual aplicativo de destino está tendo maior número de erros. |
Métrica: Contagem de usuários – número médio de usuários exclusivos autenticando-se ativamente usando o AD FS
| Group By | O que significa que o agrupamento e por que ele é útil? |
|---|---|
| Tudo | Essa métrica fornece uma contagem do número médio de usuários que usam o serviço de federação na fração de tempo selecionada. Os usuários não estão agrupados. A média depende da fração de tempo selecionada. |
| Aplicativo | Agrupa o número médio de usuários com base no aplicativo de destino (terceira parte confiável). Esse agrupamento é útil para entender a quantos usuários estão usando o aplicativo. |
Monitoramento de desempenho do AD FS
O Monitoramento de Desempenho do Microsoft Entra Connect Health fornece informações de monitoramento sobre as métricas. Selecionar a caixa Monitoramento abre uma nova folha com informações detalhadas sobre as métricas.
Ao selecionar a opção de filtro na parte superior da folha, você pode filtrar por servidor para ver as métricas individuais de um servidor. Para alterar as métricas, clique com o botão direito do mouse no gráfico de monitoramento na folha de monitoramento e selecione Editar Gráfico (ou selecione o botão Editar Gráfico). Na nova folha que é aberta, você pode selecionar métricas adicionais na lista suspensa e especificar um intervalo de tempo para exibir os dados de desempenho.
50 principais usuários com logons com falha de nome de usuário/senha
Um dos motivos comuns para a falha de uma solicitação de autenticação em um servidor do AD FS é uma solicitação com credenciais inválidas, ou seja, um nome de usuário ou uma senha incorretos. Costuma acontecer par aos usuários devido a senhas complexas, senhas esquecidas ou erros de digitação.
Mas há outros motivos que podem resultar em um número inesperado de solicitações manipuladas pelos servidores do AD FS, tais como: um aplicativo que armazena em cache as credenciais de usuário e as credenciais expiram ou um usuário mal-intencionado tenta entrar em uma conta com uma série de senhas conhecidas. Estes dois exemplos são motivos válidos que poderiam levar a um aumento nas solicitações.
O Microsoft Entra Connect Health for ADFS fornece um relatório sobre os 50 principais usuários com tentativas de logon fracassadas devido a nome de usuário ou senha inválidos. Esse relatório é obtido com o processamento dos eventos de auditoria gerados por todos os servidores do AD FS nos farms.
Neste relatório, você tem acesso fácil às seguintes informações:
- Número total de solicitações com falha com nome de usuário/senha incorretos nos últimos 30 dias
- Número médio de usuários com falha de logon com um nome de usuário/senha inválidos por dia.
Ao clicar nessa opção, você é levado até a folha de relatório principal, que fornece detalhes adicionais. Esta folha inclui um grafo com informações de tendência para ajudar a estabelecer uma linha de base sobre solicitações com nome de usuário ou senha incorretos. Além disso, ele fornece a lista dos 50 principais usuários com o maior número de tentativas com falha durante a semana passada. A observação dos 50 principais usuários da semana anterior poderia ajudar a identificar picos de senhas inválidas.
O grafo fornece as seguintes informações:
- O número total de logons com falha devido a um nome de usuário/senha inválidos a cada dia.
- O número total de usuários exclusivos com logons com falha a cada dia.
- Endereço IP do cliente da última solicitação
Esse relatório fornece as seguintes informações:
| Item do relatório | Descrição |
|---|---|
| ID do Usuário | Mostra a ID de usuário que foi usada. Esse valor é o que o usuário digitou, que, em alguns casos, é o uso da ID de usuário errada. |
| Tentativas com falha | Mostra o número total de tentativas com falha para essa ID de usuário específica. A tabela é classificada com o maior número de tentativas com falha em ordem decrescente. |
| Última falha | Mostra o carimbo de data/hora quando a última falha ocorreu. |
| IP da última falha | Mostra o endereço IP do cliente da solicitação incorreta mais recente. Se houver mais de um endereço IP nesse valor, ele pode incluir o encaminhamento de IP do cliente junto com a última tentativa de solicitação de IP do usuário. |
Observação
Esse relatório é atualizado automaticamente a cada 12 horas com as novas informações coletadas no momento. Como resultado, as tentativas de logon nas últimas 12 horas podem não ser incluídas no relatório.