Monitorizar e rever os registos para ambientes da Proteção de Palavras-passe do Microsoft Entra no local
Após a implantação do Microsoft Entra Password Protection, o monitoramento e a geração de relatórios são tarefas essenciais. Este artigo entra em detalhes para ajudá-lo a entender várias técnicas de monitoramento, incluindo onde cada serviço registra informações e como relatar o uso da Proteção por Senha do Microsoft Entra.
O monitoramento e a geração de relatórios são feitos por mensagens de log de eventos ou pela execução de cmdlets do PowerShell. O agente de DC e os serviços de proxy registram mensagens de log de eventos. Todos os cmdlets do PowerShell descritos abaixo estão disponíveis apenas no servidor proxy (consulte o módulo AzureADPasswordProtection PowerShell). O software do agente DC não instala um módulo do PowerShell.
Log de eventos do agente DC
Em cada controlador de domínio, o software de serviço do agente de DC grava os resultados de cada operação de validação de senha individual (e outro status) em um log de eventos local:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
O log Admin do agente DC é a principal fonte de informações sobre como o software está se comportando.
Observe que o log de rastreamento está desativado por padrão.
Os eventos registrados pelos vários componentes do agente DC estão dentro dos seguintes intervalos:
| Componente | Intervalo de ID do Evento |
|---|---|
| dll do filtro de senha do Agente DC | 10000-19999 |
| Processo de hospedagem do serviço do agente DC | 20000-29999 |
| Lógica de validação da política de serviço do agente de DC | 30000-39999 |
Log de eventos do administrador do agente DC
Eventos de resultado da validação de senha
Em cada controlador de domínio, o software de serviço do agente de DC grava os resultados de cada validação de senha individual no log de eventos de administração do agente de DC.
Para uma operação de validação de senha bem-sucedida, geralmente há um evento registrado da dll do filtro de senha do agente DC. Para uma operação de validação de senha com falha, geralmente há dois eventos registrados, um do serviço do agente de DC e outro da dll do filtro de senha do Agente de DC.
Eventos discretos para capturar essas situações são registrados, com base nos seguintes fatores:
- Se uma determinada senha está sendo definida ou alterada.
- Se a validação de uma determinada senha passou ou falhou.
- Se a validação falhou devido à política global da Microsoft, à política organizacional ou a uma combinação.
- Se o modo somente auditoria está ativado ou desativado para a política de senha atual.
Os principais eventos relacionados à validação de senha são os seguintes:
| Event | Alteração da palavra-passe | Conjunto de palavras-passe |
|---|---|---|
| Aprovação | 10014 | 10015 |
| Falha (devido à política de senha do cliente) | 10016, 30002 | 10017, 30003 |
| Falha (devido à política de senha da Microsoft) | 10016, 30004 | 10017, 30005 |
| Falha (devido a políticas de senha combinadas da Microsoft e do cliente) | 10016, 30026 | 10017, 30027 |
| Falha (devido ao nome de usuário) | 10016, 30021 | 10017, 30022 |
| Passe somente de auditoria (teria falhado na política de senha do cliente) | 10024, 30008 | 10025, 30007 |
| Aprovação somente auditoria (teria falhado na política de senha da Microsoft) | 10024, 30010 | 10025, 30009 |
| Passe somente de auditoria (teria falhado nas políticas combinadas de senha da Microsoft e do cliente) | 10024, 30028 | 10025, 30029 |
| Aprovação somente auditoria (teria falhado devido ao nome de usuário) | 10016, 30024 | 10017, 30023 |
Os casos na tabela acima que se referem a "políticas combinadas" estão se referindo a situações em que a senha de um usuário foi encontrada para conter pelo menos um token da lista de senhas proibidas da Microsoft e da lista de senhas proibidas do cliente.
Os casos na tabela acima que se referem a "nome de usuário" estão se referindo a situações em que a senha de um usuário foi encontrada para conter o nome da conta do usuário e/ou um dos nomes amigáveis do usuário. Qualquer um dos cenários fará com que a senha do usuário seja rejeitada quando a política for definida como Impor ou passada se a política estiver no modo de Auditoria.
Quando um par de eventos é registrado juntos, ambos os eventos são explicitamente associados por terem o mesmo CorrelationId.
Relatório de resumo de validação de senha via PowerShell
O Get-AzureADPasswordProtectionSummaryReport cmdlet pode ser usado para produzir uma exibição resumida da atividade de validação de senha. Um exemplo de saída desse cmdlet é o seguinte:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
O escopo dos relatórios do cmdlet pode ser influenciado usando um dos parâmetros –Forest, -Domain ou –DomainController. Não especificar um parâmetro implica –Forest.
Nota
Se você instalar apenas o agente de DC em um DC, o Get-AzureADPasswordProtectionSummaryReport lerá eventos somente desse DC. Para obter eventos de vários DCs, você precisará do agente de DC instalado em cada DC.
O Get-AzureADPasswordProtectionSummaryReport cmdlet funciona consultando o log de eventos admin do agente de DC e contando o número total de eventos que correspondem a cada categoria de resultado exibida. A tabela a seguir contém os mapeamentos entre cada resultado e sua ID de evento correspondente:
| Get-AzureADPasswordProtectionSummaryReport propriedade | ID do evento correspondente |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Observe que o Get-AzureADPasswordProtectionSummaryReport cmdlet é enviado no formato de script do PowerShell e, se necessário, pode ser referenciado diretamente no seguinte local:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Nota
Este cmdlet funciona abrindo uma sessão do PowerShell para cada controlador de domínio. Para ter êxito, o suporte de sessão remota do PowerShell deve ser habilitado em cada controlador de domínio e o cliente deve ter privilégios suficientes. Para obter mais informações sobre os requisitos de sessão remota do PowerShell, execute 'Get-Help about_Remote_Troubleshooting' em uma janela do PowerShell.
Nota
Esse cmdlet funciona consultando remotamente o log de eventos Admin de cada serviço do agente DC. Se os logs de eventos contiverem um grande número de eventos, o cmdlet pode levar muito tempo para ser concluído. Além disso, consultas de rede em massa de grandes conjuntos de dados podem afetar o desempenho do controlador de domínio. Portanto, esse cmdlet deve ser usado com cuidado em ambientes de produção.
Exemplos de mensagens de log de eventos
ID do Evento 10014 (Alteração bem-sucedida da senha)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID do Evento 10017 (Falha na alteração da senha):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID do Evento 30003 (Falha na alteração da senha):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
ID do Evento 10024 (Senha aceita devido à política no modo somente auditoria)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
ID do Evento 30008 (Senha aceita devido à política no modo somente auditoria)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
ID do Evento 30001 (Senha aceita devido a nenhuma política disponível)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
ID do Evento 30006 (Nova política sendo imposta)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
ID do Evento 30019 (a Proteção por Senha do Microsoft Entra está desabilitada)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Log operacional do agente DC
O serviço de agente de DC também registrará eventos operacionais relacionados ao seguinte log:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Log de rastreamento do agente de DC
O serviço de agente de DC também pode registrar eventos de rastreamento detalhados no nível de depuração no seguinte log:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
O registo de rastreio está desativado por predefinição.
Aviso
Quando habilitado, o log de rastreamento recebe um grande volume de eventos e pode afetar o desempenho do controlador de domínio. Portanto, esse log aprimorado só deve ser habilitado quando um problema requer uma investigação mais profunda e, em seguida, apenas por um período mínimo de tempo.
Registo de texto do Agente de DC
O serviço de agente de DC pode ser configurado para gravar em um log de texto definindo o seguinte valor do Registro:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
O registo de texto está desativado por predefinição. Uma reinicialização do serviço do agente de DC é necessária para que as alterações nesse valor entrem em vigor. Quando habilitado, o serviço do agente DC gravará em um arquivo de log localizado em:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Gorjeta
O log de texto recebe as mesmas entradas de nível de depuração que podem ser registradas no log de rastreamento, mas geralmente está em um formato mais fácil de revisar e analisar.
Aviso
Quando habilitado, esse log recebe um grande volume de eventos e pode afetar o desempenho do controlador de domínio. Portanto, esse log aprimorado só deve ser habilitado quando um problema requer uma investigação mais profunda e, em seguida, apenas por um período mínimo de tempo.
Monitoramento de desempenho do agente DC
O software de serviço do agente DC instala um objeto de contador de desempenho chamado Proteção por Senha do Microsoft Entra. Os seguintes contadores de perf estão atualmente disponíveis:
| Nome do contador Perf | Description |
|---|---|
| Palavras-passe processadas | Este contador apresenta o número total de palavras-passe processadas (aceites ou rejeitadas) desde o último reinício. |
| Palavras-passe aceites | Esse contador exibe o número total de senhas que foram aceitas desde a última reinicialização. |
| Palavras-passe rejeitadas | Esse contador exibe o número total de senhas que foram rejeitadas desde a última reinicialização. |
| Solicitações de filtro de senha em andamento | Esse contador exibe o número de solicitações de filtro de senha atualmente em andamento. |
| Solicitações de filtro de senha de pico | Esse contador exibe o número máximo de solicitações simultâneas de filtro de senha desde a última reinicialização. |
| Erros de solicitação de filtro de senha | Esse contador exibe o número total de solicitações de filtro de senha que falharam devido a um erro desde a última reinicialização. Erros podem ocorrer quando o serviço Microsoft Entra Password Protection DC agent não está em execução. |
| Solicitações de filtro de senha/s | Esse contador exibe a taxa na qual as senhas estão sendo processadas. |
| Tempo de processamento de solicitação de filtro de senha | Esse contador exibe o tempo médio necessário para processar uma solicitação de filtro de senha. |
| Pico de tempo de processamento de solicitação de filtro de senha | Esse contador exibe o tempo de processamento de solicitação de filtro de senha de pico desde a última reinicialização. |
| Senhas aceitas devido ao modo de auditoria | Esse contador exibe o número total de senhas que normalmente teriam sido rejeitadas, mas foram aceitas porque a política de senha foi configurada para estar no modo de auditoria (desde a última reinicialização). |
Descoberta do Agente DC
O Get-AzureADPasswordProtectionDCAgent cmdlet pode ser usado para exibir informações básicas sobre os vários agentes de DC em execução em um domínio ou floresta. Essas informações são recuperadas do(s) objeto(s) serviceConnectionPoint registrado(s) pelo(s) serviço(s) do agente de DC em execução.
Um exemplo de saída desse cmdlet é o seguinte:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
As várias propriedades são atualizadas por cada serviço de agente DC em uma base horária aproximada. Os dados ainda estão sujeitos à latência de replicação do Ative Directory.
O escopo da consulta do cmdlet pode ser influenciado usando os parâmetros –Forest ou –Domain.
Se o valor HeartbeatUTC ficar obsoleto, isso pode ser um sintoma de que o Microsoft Entra Password Protection DC Agent nesse controlador de domínio não está em execução, ou foi desinstalado, ou a máquina foi rebaixada e não é mais um controlador de domínio.
Se o valor PasswordPolicyDateUTC ficar obsoleto, isso pode ser um sintoma de que o Microsoft Entra Password Protection DC Agent nessa máquina não está funcionando corretamente.
Versão mais recente do agente DC disponível
O serviço do agente de DC registrará um evento de aviso 30034 no log operacional ao detetar que uma versão mais recente do software do agente de DC está disponível, por exemplo:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
O evento acima não especifica a versão do software mais recente. Você deve ir para o link na mensagem do evento para obter essas informações.
Nota
Apesar das referências a "autoupgrade" na mensagem de evento acima, o software do agente DC não suporta atualmente esse recurso.
Log de eventos do serviço proxy
O serviço de proxy emite um conjunto mínimo de eventos para os seguintes logs de eventos:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Observe que o log de rastreamento está desativado por padrão.
Aviso
Quando habilitado, o log de rastreamento recebe um grande volume de eventos e isso pode afetar o desempenho do host proxy. Portanto, esse log só deve ser habilitado quando um problema requer uma investigação mais profunda e, em seguida, apenas por um período mínimo de tempo.
Os eventos são registrados pelos vários componentes de proxy usando os seguintes intervalos:
| Componente | Intervalo de ID do Evento |
|---|---|
| Processo de hospedagem do serviço de proxy | 10000-19999 |
| Lógica de negócios principal do serviço de proxy | 20000-29999 |
| Cmdlets do PowerShell | 30000-39999 |
Registo de texto do serviço proxy
O serviço de proxy pode ser configurado para gravar em um log de texto definindo o seguinte valor do Registro:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parâmetros! EnableTextLogging = 1 (valor REG_DWORD)
O registo de texto está desativado por predefinição. Uma reinicialização do serviço de proxy é necessária para que as alterações nesse valor entrem em vigor. Quando habilitado, o serviço de proxy gravará em um arquivo de log localizado em:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Gorjeta
O log de texto recebe as mesmas entradas de nível de depuração que podem ser registradas no log de rastreamento, mas geralmente está em um formato mais fácil de revisar e analisar.
Aviso
Quando ativado, esse log recebe um grande volume de eventos e pode afetar o desempenho da máquina. Portanto, esse log aprimorado só deve ser habilitado quando um problema requer uma investigação mais profunda e, em seguida, apenas por um período mínimo de tempo.
Log de cmdlets do PowerShell
Os cmdlets do PowerShell que resultam em uma alteração de estado (por exemplo, Register-AzureADPasswordProtectionProxy) normalmente registram um evento de resultado no log Operacional.
Além disso, a maioria dos cmdlets do PowerShell do Microsoft Entra Password Protection gravará em um log de texto localizado em:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Se ocorrer um erro de cmdlet e a causa e\ou solução não for prontamente aparente, esses logs de texto também poderão ser consultados.
Descoberta de proxy
O Get-AzureADPasswordProtectionProxy cmdlet pode ser usado para exibir informações básicas sobre os vários serviços de Proxy de Proteção por Senha do Microsoft Entra em execução em um domínio ou floresta. Essas informações são recuperadas do(s) objeto(s) serviceConnectionPoint registrado(s) pelo(s) serviço(s) Proxy(s) em execução.
Um exemplo de saída desse cmdlet é o seguinte:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
As várias propriedades são atualizadas por cada serviço de proxy em uma base horária aproximada. Os dados ainda estão sujeitos à latência de replicação do Ative Directory.
O escopo da consulta do cmdlet pode ser influenciado usando os parâmetros –Forest ou –Domain.
Se o valor HeartbeatUTC ficar obsoleto, isso pode ser um sintoma de que o Proxy de Proteção por Senha do Microsoft Entra nessa máquina não está em execução ou foi desinstalado.
Versão mais recente do agente proxy disponível
O serviço Proxy registrará um evento de aviso 20002 no log Operacional ao detetar que uma versão mais recente do software proxy está disponível, por exemplo:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
O evento acima não especifica a versão do software mais recente. Você deve ir para o link na mensagem do evento para obter essas informações.
Esse evento será emitido mesmo se o agente Proxy estiver configurado com a atualização automática habilitada.
Próximos passos
Solução de problemas para a Proteção por Senha do Microsoft Entra
Para obter mais informações sobre as listas de senhas proibidas globais e personalizadas, consulte o artigo Banir senhas incorretas