Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Теперь входы в AD FS можно интегрировать в отчет о входе в Microsoft Entra с помощью Connect Health. Отчет о входах в Microsoft Entra содержит сведения о том, когда пользователи, приложения и управляемые ресурсы входят в Microsoft Entra ID и получают доступ к ресурсам.
Агент Connect Health для AD FS связывает несколько идентификаторов событий от AD FS (в зависимости от версии сервера), предоставляя информацию о запросах и подробности об ошибках в случае сбоя запроса. Эти сведения коррелируются со схемой отчета о входе в Microsoft Entra и отображаются в пользовательском интерфейсе отчета о входе в Microsoft Entra. Наряду с этим отчетом предоставляется новый поток данных Log Analytics с данными из AD FS и новый шаблон рабочей книги Azure Monitor. Этот шаблон можно свободно использовать и изменять для подробного анализа в таких сценариях, как блокировка учетных записей AD FS, неудачные попытки ввода пароля и резкое увеличение количества попыток входа.
Предварительные условия
- Microsoft Entra Connect Health для AD FS установлен и обновлен до последней версии (3.1.95.0 или более поздней).
- Роль «Читатель отчетов» для просмотра входов в Microsoft Entra
Какие данные отображаются в этом отчете?
Доступные данные зеркально отражают те же данные, которые доступны для входа в Microsoft Entra. Пять вкладок с информацией доступны на основе типа входа, идентификатора Microsoft Entra или AD FS. Connect Health сопоставляет события из AD FS (разные в зависимости от версии сервера) со схемой AD FS.
Входы пользователей
На каждой вкладке в панели событий входа показываются значения по умолчанию ниже.
- дата входа в систему
- Идентификатор запроса
- имя или идентификатор пользователя;
- состояние входа;
- IP-адрес устройства, с которого выполнялся вход;
- идентификатор входа.
Сведения о способе проверки подлинности
На вкладке "Проверка подлинности" могут отображаться указанные ниже значения. Способ проверки подлинности берется из журналов аудита AD FS.
| Метод проверки подлинности | Описание |
|---|---|
| Формы | Аутентификация по имени пользователя и паролю |
| Виндоус | Встроенная проверка подлинности Windows |
| Сертификат | Проверка подлинности с использованием сертификатов смарт-карты или VirtualSmart |
| WindowsHelloForBusiness | Это поле используется для проверки подлинности с использованием Windows Hello для бизнеса (проверка подлинности Microsoft Passport). |
| Устройство | Отображается, если для проверки подлинности выбрана «Первичная проверка подлинности устройства» как метод из интрасети или экстрасети, и выполняется проверка подлинности устройства. В этом сценарии нет отдельной проверки подлинности пользователей. |
| объединённые | AD FS не делала проверку подлинности, но отправляла ее стороннему поставщику удостоверений. |
| Единый вход | Если использовался токен единого входа, это поле отображается. Если система единого входа использует многофакторную аутентификацию, это отображается как многофакторный. |
| Многофакторная | Если токен единого входа имеет многофакторную аутентификацию и использовался для проверки подлинности, в этом поле отображается как Multifactor. |
| Многофакторная проверка подлинности Microsoft Entra | Многофакторная проверка подлинности Microsoft Entra выбрана в качестве дополнительного поставщика проверки подлинности в AD FS и использовалась для проверки подлинности. |
| Провайдер внешней аутентификации ADFS | Это поле обозначает, зарегистрирован ли сторонний поставщик проверки подлинности и использовался ли он для проверки подлинности. |
Дополнительные сведения о AD FS
Доступны следующие сведения о входах в AD FS:
- Server Name (Имя сервера)
- цепочка IP-адресов;
- Протокол
Включение Log Analytics и Azure Monitor
Log Analytics можно включить для входов в AD FS и применять совместно с любыми другими компонентами, интегрированными с Log Analytics, например с Sentinel.
Примечание.
Входы в AD FS могут значительно повысить стоимость использования Log Analytics в зависимости от числа входов в вашей организации. Чтобы включить или отключить Log Analytics, установите или снимите флажок для потока.
Чтобы включить эту возможность в Log Analytics, перейдите в колонку Log Analytics и выберите поток ADFSSignIns. Этот параметр позволяет перенаправлять входы в AD FS в Log Analytics.
Чтобы просмотреть обновленный шаблон Azure Monitor Workbook, перейдите в раздел "Шаблоны Azure Monitor" и выберите Workbook "sign-ins". Дополнительные сведения см. в статье Рабочие тетради Azure Monitor.
Вопросы и ответы
Какие типы событий входа я могу увидеть? Отчет о попытках входа поддерживает события входа через протоколы O-Auth, WS-Fed, SAML и WS-Trust.
Как в отчете о входе представлены различные типы входов? Если выполняется бесшовный вход первой степени (SSO), существует одна строка для входа с одним идентификатором корреляции. Если выполняется однофакторная проверка подлинности, две строки заполняются одинаковым идентификатором корреляции, но двумя различными методами проверки подлинности (то есть forms, SSO). В случаях многофакторной проверки подлинности есть три строки с общим идентификатором корреляции и тремя соответствующими методами проверки подлинности (то есть forms, Microsoft Entra multifactor authentication, Multifactor). В данном конкретном примере многофакторность показывает, что в системе единого входа (SSO) используется многофакторная аутентификация (MFA).
Какие ошибки я вижу в отчете?
Для получения полного списка ошибок, связанных с AD FS и отображаемых в отчете о входе, а также их описаний, посетите каталог оповещений о работоспособности Microsoft Entra Connect.
Я вижу "00000000-0000-0000-0000-000000000000" в разделе "Пользователь" при входе. Что это значит? Если вход не удался и введенное имя пользователя (UPN) не соответствует существующему имени пользователя, поля "Пользователь", "Имя пользователя" и "Идентификатор пользователя" содержат "00000000-0000-0000-0000-000000000000", а "Идентификатор входа" заполнено значением, которое ввел пользователь. В таких случаях пользователя, который пытается войти в систему, не существует.
Как сопоставить локальные события с отчетом о входе Microsoft Entra? Агент Microsoft Entra Connect Health для AD FS сопоставляет идентификаторы событий из AD FS, зависящие от версии сервера. События доступны в журнале безопасности серверов AD FS.
Почему в поле "Идентификатор или имя приложения" для некоторых входов AD FS отображается NotSet или NotApplicable? Отчет о входе AD FS показывает идентификаторы OAuth в поле "Идентификатор приложения" для входов по OAuth. В сценариях входа WS-Fed и WS-Trust идентификатор приложения указан как NotSet или NotApplicable, а идентификаторы ресурсов и идентификаторы доверяющей стороны присутствуют в поле "Идентификатор ресурса".
Почему поля "Идентификатор ресурса" и "Имя ресурса" отображаются как "NotSet"? Поля ResourceId/Name являются NotSet в некоторых случаях ошибок, например "Имя пользователя и пароль неверны", а также в ошибках входа на основе протокола WSTrust.
Существуют ли более известные проблемы с отчетом в предварительной версии? В отчете есть известная проблема, из-за которой поле "Требование проверки подлинности" на вкладке "Основные сведения" заполняется как одно значение проверки подлинности для входа AD FS независимо от входа. Кроме того, на вкладке "Сведения о проверке подлинности" в поле "Требование" отображается надпись "Основной или вторичный". В настоящее время разрабатывается исправление для различения типов первичной или вторичной проверки подлинности.