Monitorar o AD FS utilizando o Microsoft Entra Connect Health

  • Artigo

A documentação a seguir é específica para o monitoramento da sua infraestrutura do AD FS com o Microsoft Entra Connect Health. Para obter informações sobre o monitoramento da integridade do Microsoft Entra Connect (Sync) com o Microsoft Entra Connect Health, consulte Usando o Microsoft Entra Connect Health para Sincronizar. Além disso, para obter informações sobre o monitoramento do Active Directory Domain Services com o Microsoft Entra Connect Health, consulte Usando o Microsoft Entra Connect Health com o AD DS.

Alertas do AD FS

A seção Alertas do Microsoft Entra Connect Health fornece a lista de alertas ativos. Cada alerta inclui informações relevantes, etapas de resolução e links para documentação relacionada.

Clique duas vezes em um alerta ativo ou resolvido para abrir uma nova folha com as informações adicionais, as etapas a serem seguidas para resolver o alerta e os links para documentação relevante. Você também pode exibir dados históricos sobre alertas que foram resolvidas no passado.

Screenshot that shows the Microsoft Entra Connect Health

Análises de Uso do AD FS

O Microsoft Entra Connect Health Usage Analytics analisa o tráfego de autenticação dos seus servidores de federação. Você pode clicar duas vezes na caixa de análise de uso para abrir a folha de análise de uso, que mostra várias métricas e agrupamentos.

Observação

Para usar a análise de uso com o AD FS, você deve garantir que a auditoria do AD FS esteja habilitada. Para obter mais informações, consulte Habilitar a auditoria do AD FS.

Screenshot that shows the Microsoft Entra Connect Health

Para selecionar métricas adicionais, especifique um intervalo de tempo ou, para alterar o agrupamento, clique no gráfico de análise de uso e selecione Editar gráfico. Em seguida, você pode especificar o intervalo de tempo, selecionar uma métrica diferente e alterar o agrupamento. Você pode exibir a distribuição do tráfego de autenticação com base em diferentes “métricas” e agrupar cada métrica usando parâmetros relevantes "agrupar por" descritos na seção a seguir:

Métrica: Total de solicitações – Número total de solicitações processadas por servidores AD FS.

Group By O que significa que o agrupamento e por que ele é útil?
Tudo Mostra a contagem do número total de solicitações processadas por todos os servidores AD FS.
Aplicativo Agrupa o total de solicitações com base na terceira parte confiável de destino. Esse agrupamento é útil para entender qual aplicativo está recebendo o percentual do tráfego total.
Servidor Agrupa o total de solicitações com base no servidor que processa a solicitação. Esse agrupamento é útil para entender a distribuição de carga do tráfego total.
Ingresso no local Agrupa o total de solicitações com base em se as solicitações são provenientes de dispositivos que são ingressados no local (conhecido). Esse agrupamento é útil para compreender se os recursos são acessados usando dispositivos desconhecidos para a infraestrutura de identidades.
Método de autenticação Agrupa o total de solicitações com base no método de autenticação usado para autenticação. Esse agrupamento é útil para entender o método de autenticação comum que é usado para autenticação. Estes são os métodos de autenticação possíveis
  1. Autenticação Integrada do Windows (Windows)
  2. Autenticação Baseada em Formulários (Formulários)
  3. SSO (Logon único)
  4. Autenticação de Certificado X509 (Certificado)

    5. Se os servidores de federação receberem a solicitação com um Cookie SSO, essa solicitação será contabilizada como SSO (logon único). Nesses casos, se o cookie for válido, o usuário não precisa fornecer credenciais e obtém acesso contínuo ao aplicativo. Esse comportamento é comum se você tiver várias partes confiáveis protegidas pelos servidores da Federação.
Local de rede Agrupa o total de solicitações com base no local de rede do usuário. Pode ser qualquer intranet ou extranet. Esse agrupamento é útil para saber qual é a porcentagem do tráfego que está vindo da intranet em comparação com a extranet.

Métrica: Total de solicitações com falha – O número total de solicitações com falha processadas pelo serviço de federação. (Essa métrica só está disponível no AD FS para o Windows Server 2012 R2)

Group By O que significa que o agrupamento e por que ele é útil?
Tipo de erro Mostra o número de erros com base nos tipos de erro predefinidos. Esse agrupamento é útil para entender os tipos comuns de erros.
  • Nome de usuário ou senha incorretos: erros causados por nome de usuário ou senha incorretos.
  • "Bloqueio de extranet": falhas devido a solicitações recebidas de um usuário que foi bloqueado da extranet
  • "Senha expirada": falhas devido a usuários que fazem logon com uma senha expirada.
  • "Conta desabilitada": falhas devido a usuários que fazem logon com uma conta desabilitada.
  • "Autenticação do dispositivo": falhas devido a usuários que não foram autenticados usando a Autenticação do Dispositivo.
  • "Autenticação de Certificado de Usuário": falhas devido a usuários que não foram autenticados devido a um certificado inválido.
  • "MFA": falhas devido ao usuário que não foi autenticado usando a Autenticação Multifator.
  • "Outras Credenciais": "Autorização de Emissão": falhas devido a falhas de autorização.
  • "Delegação de Emissão": falhas devido a erros de delegação de emissão.
  • "Aceitação de Token": falhas causadas pelo ADFS rejeitando o token de um provedor de identidade de terceiros.
  • "Protocolo": falha devido a erros de protocolo.
  • "Desconhecido": envolve tudo. Quaisquer outras falhas que não se encaixam nas categorias definidas.
Servidor Agrupa os erros com base no servidor. Esse agrupamento é útil para entender a distribuição de erros entre servidores. A distribuição desigual poderia ser um indicador de um servidor em um estado com falha.
Local de rede Agrupa os erros com base no local de rede das solicitações (intranet versus extranet). Esse agrupamento é útil para entender que tipo de solicitações está falhando.
Aplicativo Agrupa as falhas com base no aplicativo de destino (terceira parte confiável). Esse agrupamento é útil para entender qual aplicativo de destino está tendo maior número de erros.

Métrica: Contagem de usuários – número médio de usuários exclusivos autenticando-se ativamente usando o AD FS

Group By O que significa que o agrupamento e por que ele é útil?
Tudo Essa métrica fornece uma contagem do número médio de usuários que usam o serviço de federação na fração de tempo selecionada. Os usuários não estão agrupados.
A média depende da fração de tempo selecionada.
Aplicativo Agrupa o número médio de usuários com base no aplicativo de destino (terceira parte confiável). Esse agrupamento é útil para entender a quantos usuários estão usando o aplicativo.

Monitoramento de desempenho do AD FS

O Monitoramento de Desempenho do Microsoft Entra Connect Health fornece informações de monitoramento sobre as métricas. Selecionar a caixa Monitoramento abre uma nova folha com informações detalhadas sobre as métricas.

Screenshot that shows the Microsoft Entra Connect Health Performance

Ao selecionar a opção de filtro na parte superior da folha, você pode filtrar por servidor para ver as métricas individuais de um servidor. Para alterar as métricas, clique com o botão direito do mouse no gráfico de monitoramento na folha de monitoramento e selecione Editar Gráfico (ou selecione o botão Editar Gráfico). Na nova folha que é aberta, você pode selecionar métricas adicionais na lista suspensa e especificar um intervalo de tempo para exibir os dados de desempenho.

50 principais usuários com logons com falha de nome de usuário/senha

Um dos motivos comuns para a falha de uma solicitação de autenticação em um servidor do AD FS é uma solicitação com credenciais inválidas, ou seja, um nome de usuário ou uma senha incorretos. Costuma acontecer par aos usuários devido a senhas complexas, senhas esquecidas ou erros de digitação.

Mas há outros motivos que podem resultar em um número inesperado de solicitações manipuladas pelos servidores do AD FS, tais como: um aplicativo que armazena em cache as credenciais de usuário e as credenciais expiram ou um usuário mal-intencionado tenta entrar em uma conta com uma série de senhas conhecidas. Estes dois exemplos são motivos válidos que poderiam levar a um aumento nas solicitações.

O Microsoft Entra Connect Health for ADFS fornece um relatório sobre os 50 principais usuários com tentativas de logon fracassadas devido a nome de usuário ou senha inválidos. Esse relatório é obtido com o processamento dos eventos de auditoria gerados por todos os servidores do AD FS nos farms.

Screenshot that shows the

Neste relatório, você tem acesso fácil às seguintes informações:

  • Número total de solicitações com falha com nome de usuário/senha incorretos nos últimos 30 dias
  • Número médio de usuários com falha de logon com um nome de usuário/senha inválidos por dia.

Ao clicar nessa opção, você é levado até a folha de relatório principal, que fornece detalhes adicionais. Esta folha inclui um grafo com informações de tendência para ajudar a estabelecer uma linha de base sobre solicitações com nome de usuário ou senha incorretos. Além disso, ele fornece a lista dos 50 principais usuários com o maior número de tentativas com falha durante a semana passada. A observação dos 50 principais usuários da semana anterior poderia ajudar a identificar picos de senhas inválidas.

O grafo fornece as seguintes informações:

  • O número total de logons com falha devido a um nome de usuário/senha inválidos a cada dia.
  • O número total de usuários exclusivos com logons com falha a cada dia.
  • Endereço IP do cliente da última solicitação

Microsoft Entra Connect Health Portal

Esse relatório fornece as seguintes informações:

Item do relatório Descrição
ID do Usuário Mostra a ID de usuário que foi usada. Esse valor é o que o usuário digitou, que, em alguns casos, é o uso da ID de usuário errada.
Tentativas com falha Mostra o número total de tentativas com falha para essa ID de usuário específica. A tabela é classificada com o maior número de tentativas com falha em ordem decrescente.
Última falha Mostra o carimbo de data/hora quando a última falha ocorreu.
IP da última falha Mostra o endereço IP do cliente da solicitação incorreta mais recente. Se houver mais de um endereço IP nesse valor, ele pode incluir o encaminhamento de IP do cliente junto com a última tentativa de solicitação de IP do usuário.

Observação

Esse relatório é atualizado automaticamente a cada 12 horas com as novas informações coletadas no momento. Como resultado, as tentativas de logon nas últimas 12 horas podem não ser incluídas no relatório.