Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As entradas dos AD FS agora podem ser integradas ao relatório de entradas do Microsoft Entra usando o Connect Health. O relatório de Relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entraram no Microsoft Entra ID e acessaram recursos.
O agente do Connect Health para AD FS correlaciona várias IDs de Evento dos AD FS, dependendo da versão do servidor, para fornecer informações sobre a solicitação e os detalhes do erro se a solicitação falhar. Essas informações estão correlacionadas ao esquema de relatório de entradas do Microsoft Entra e exibidas na interface de usuário do relatório de entradas do Microsoft Entra. Junto ao relatório, um novo fluxo de Log Analytics está disponível com os dados dos AD FS e um novo modelo de pasta de trabalho do Azure Monitor. O modelo pode ser usado e modificado para uma análise detalhada para cenários como bloqueios de conta dos AD FS, tentativas de senha inadequadas e picos de tentativas de entrada inesperadas.
Pré-requisitos
- Microsoft Entra Connect Health para o AD FS instalado e atualizado para a versão mais recente (3.1.95.0 ou posterior).
- Função Leitor de Relatórios para exibir as entradas do Microsoft Entra
Quais dados são exibidos no relatório?
Os dados disponíveis refletem os mesmos dados disponíveis para logins do Microsoft Entra. Cinco guias com informações estão disponíveis com base no tipo de login, seja Microsoft Entra ID ou AD FS. O Connect Health correlaciona eventos do AD FS, dependendo da versão do servidor, e os associa ao esquema do AD FS.
Entradas do usuário
Cada guia na folha de logons mostra os valores padrão abaixo:
- Data de login
- ID da Solicitação
- Nome de usuário ou ID de usuário
- Status da entrada
- Endereço IP do dispositivo usado para a entrada
- Identificador de entrada
Informações sobre o método de autenticação
Os valores a seguir podem ser exibidos na guia Autenticação. O método de autenticação é obtido dos logs de auditoria AD FS.
| Método de autenticação | Descrição |
|---|---|
| Formulários | Autenticação de nome de usuário e senha |
| Windows | Autenticação Integrada do Windows |
| Certificado | Autenticação com certificados de Cartão inteligente/VirtualSmart |
| WindowsHelloForBusiness | Este campo é para autenticação com o Windows Hello para empresas. (Autenticação do Microsoft Passport) |
| Dispositivo | Exibido se a Autenticação do Dispositivo estiver selecionada como Autenticação "Primária" da intranet/extranet e a Autenticação do Dispositivo for executada. Não há nenhuma autenticação de usuário separada nesse cenário. |
| Federado | Os AD FS não fizeram a autenticação, mas a enviaram para um provedor de identidade de terceiros |
| SSO (Autenticação Única) | Se um token de logon único tiver sido usado, esse campo ficará visível.. Se o SSO tiver uma MFA, ele será exibido como Multifator |
| Multifator | Se um token de logon único tiver uma MFA e ela tiver sido usada para autenticação, esse campo será exibido como Multifator |
| Autenticação multifator do Microsoft Entra | A autenticação multifator do Microsoft Entra está selecionada como o Provedor de Autenticação Adicional no AD FS e foi usada para autenticação |
| ProvedorExternoDeAutenticaçãoADFS | Este campo é se um provedor de autenticação de terceiros foi registrado e usado para autenticação |
Detalhes adicionais do AD FS
Os detalhes a seguir estão disponíveis para os logons no AD FS:
- Nome do Servidor
- Cadeia de IP
- Protocolo
Habilitando o Log Analytics e o Azure Monitor
O Log Analytics pode ser habilitado para os logons no AD FS e pode ser usado com qualquer outro componente integrado ao Log Analytics, como o Sentinel.
Observação
As entradas dos AD FS podem aumentar o custo do Log Analytics significativamente, dependendo da quantidade de entradas para o AD FS na sua organização. Para habilitar e desabilitar o Log Analytics, marque a caixa de seleção do fluxo.
Para habilitar o Log Analytics para o recurso, vá para o painel do Log Analytics e selecione o fluxo "ADFSSignIns". Essa seleção permite que os logons do AD FS fluam para o Log Analytics.
Para acessar o modelo de Pasta de Trabalho do Azure Monitor atualizado, navegue até "Modelos do Azure Monitor" e selecione a Pasta de Trabalho "entradas". Para mais informações sobre Modelos de Relatórios, visite Modelos de Relatórios do Azure Monitor.
Perguntas frequentes
Quais são os tipos de entradas que posso ver? O relatório de entrada dá suporte a logons por meio dos protocolos O-Auth, WS-Fed, SAML e WS-Trust.
Como os diferentes tipos de logins são mostrados no relatório de entrada? Se um login de SSO sem interrupção for realizado, será exibida uma linha para o login com um ID de correlação. Se uma autenticação de fator único for executada, duas linhas serão preenchidas com a mesma ID de correlação, mas com dois métodos de autenticação diferentes (ou seja, Forms, SSO). Em casos de autenticação multifator, haverá três linhas com uma ID de correlação compartilhada e três Métodos de Autenticação correspondentes (ou seja, Forms, autenticação multifator do Microsoft Entra e Multifator). Neste exemplo específico, o multifator nesse caso mostra que o SSO tem uma MFA.
Quais são os erros que posso ver no relatório?
Para obter uma lista completa de erros relacionados ao AD FS que são listados no relatório de entrada e nas descrições, visite o Catálogo de Alertas do Microsoft Entra Connect Health
Estou vendo “00000000-0000-0000-0000-000000000000” na seção “Usuário” de uma entrada. O que isso significa?Se a conexão falhou e o UPN tentado não corresponder a um UPN existente, os campos "Usuário", "Nome de usuário" e "ID de usuário" serão "00000000-0000-0000-0000-000000000000" e o "identificador de entrada" será preenchido com o valor que o usuário inseriu na tentativa. Nesses casos, o usuário que está tentando entrar não existe.
Como posso correlacionar meus eventos locais com o relatório de entradas do Microsoft Entra? O agente do Microsoft Entra Connect Health para AD FS correlaciona as IDs de evento do AD FS dependentes da versão do servidor. Os eventos estarão disponíveis no Log de Segurança dos servidores do AD FS.
Por que vejo NotSet ou NotApplicable na ID/Nome do Aplicativo para algumas entradas do AD FS? O relatório de entrada do AD FS exibe IDs OAuth no campo ID do Aplicativo para entradas OAuth. Nos cenários de entrada WS-Fed e WS-Trust, o ID do aplicativo é NotSet ou NotApplicable e os IDs de Recurso e os identificadores de Terceira Parte Confiável estão presentes no campo ID do Recurso.
Por que vejo os campos ID do recurso e Nome do recurso como "Não Definidos"? Os campos ID do recurso e Nome do recurso são "Não Definidos" em alguns casos de erro, como "Nome de usuário e senha incorretos" e em falhas de login baseadas no WSTrust.
Existem mais problemas conhecidos com o relatório na versão prévia? O relatório tem um problema conhecido em que o campo "Requisito de autenticação" na guia "Informações básicas" será preenchido como um valor de autenticação de fator único para as entradas do AD FS, independentemente da entrada. Além disso, a guia Detalhes da autenticação exibirá "Primária ou Secundária" no campo Requisitos, com uma correção em andamento para diferenciar os tipos de autenticação Primária ou Secundária.