AD FS-inloggningar i Microsoft Entra-ID med Anslut Health – förhandsversion
AD FS-inloggningar kan nu integreras i Microsoft Entra-inloggningsrapporten med hjälp av Anslut Health. Rapporten microsoft entra-inloggningsrapport innehåller information om när användare, program och hanterade resurser loggar in på Microsoft Entra-ID och åtkomstresurser.
Anslut Health för AD FS-agenten korrelerar flera händelse-ID:n från AD FS, beroende på serverversionen, för att ge information om begäran och felinformation om begäran misslyckas. Den här informationen är korrelerad till Microsoft Entra-inloggningsrapportschemat och visas i Microsoft Entra-inloggningsrapportens UX. Vid sidan av rapporten finns en ny Log Analytics-ström tillgänglig med AD FS-data och en ny Azure Monitor-arbetsboksmall. Mallen kan användas och ändras för en djupgående analys för scenarier som AD FS-kontoutelåsningar, felaktiga lösenordsförsök och toppar av oväntade inloggningsförsök.
Förutsättningar
- Microsoft Entra Anslut Health för AD FS installerat och uppgraderat till den senaste versionen (3.1.95.0 eller senare).
- Rollen global administratör eller rapportläsare för att visa Microsoft Entra-inloggningar
Vilka data visas i rapporten?
Tillgängliga data speglar samma data som är tillgängliga för Microsoft Entra-inloggningar. Fem flikar med information kommer att vara tillgängliga baserat på typen av inloggning, antingen Microsoft Entra-ID eller AD FS. Anslut Health korrelerar händelser från AD FS, beroende på serverversionen, och matchar dem med AD FS-schemat.
Användarinloggningar
Varje flik på inloggningsbladet visar standardvärdena nedan:
- Inloggningsdatum
- ID för begäran
- Användarnamn eller användar-ID
- Status för inloggningen
- IP-adressen för den enhet som används för inloggningen
- Inloggningsidentifierare
Information om autentiseringsmetod
Följande värden kan visas på fliken autentisering. Autentiseringsmetoden hämtas från AD FS-granskningsloggarna.
| Autentiseringsmetod | beskrivning |
|---|---|
| Formulär | Autentisering med användarnamn/lösenord |
| Windows | Windows-integrerad autentisering |
| Certifikat | Autentisering med SmartCard/VirtualSmart-certifikat |
| WindowsHelloForBusiness | Det här fältet är för autentisering med Windows Hello för företag. (Microsoft Passport-autentisering) |
| Enhet | Visas om Enhetsautentisering har valts som "primär" autentisering från intranät/extranät och Enhetsautentisering utförs. Det finns ingen separat användarautentisering i det här scenariot. |
| Federerade | AD FS gjorde inte autentiseringen men skickade den till en tredjepartsidentitetsprovider |
| Enkel inloggning | Om en token för enkel inloggning användes visas det här fältet. Om enkel inloggning har en MFA visas den som Multifactor |
| Multifaktor | Om en token för enkel inloggning har en MFA och som användes för autentisering visas det här fältet som Multifactor |
| Azure MFA | Azure MFA har valts som ytterligare autentiseringsprovider i AD FS och användes för autentisering |
| ADFSExternalAuthenticationProvider | Det här fältet är om en tredjepartsautentiseringsprovider registrerades och användes för autentisering |
Ytterligare information om AD FS
Följande information är tillgänglig för AD FS-inloggningar:
- Servernamn
- IP-kedja
- Protokoll
Aktivera Log Analytics och Azure Monitor
Log Analytics kan aktiveras för AD FS-inloggningar och kan användas med andra Log Analytics-integrerade komponenter, till exempel Sentinel.
Kommentar
AD FS-inloggningar kan öka Log Analytics-kostnaden avsevärt, beroende på mängden inloggningar till AD FS i din organisation. Om du vill aktivera och inaktivera Log Analytics markerar du kryssrutan för strömmen.
Om du vill aktivera Log Analytics för funktionen går du till Log Analytics-bladet och väljer strömmen "ADFSSignIns". Det här valet gör att AD FS-inloggningar kan flöda in i Log Analytics.
Om du vill komma åt den uppdaterade Azure Monitor-arbetsboksmallen går du till "Azure Monitor-mallar" och väljer arbetsboken "inloggningar". Mer information om arbetsböcker finns i Azure Monitor-arbetsböcker.
Vanliga frågor och svar
Vilka typer av inloggningar kan jag se? Inloggningsrapporten stöder inloggningar via protokollen O-Auth, WS-Fed, SAML och WS-Trust.
Hur visas olika typer av inloggningar i inloggningsrapporten? Om en sömlös SSO-inloggning utförs finns det en rad för inloggningen med ett korrelations-ID. Om en enskild faktorautentisering utförs fylls två rader i med samma korrelations-ID, men med två olika autentiseringsmetoder (dvs. formulär, enkel inloggning). Vid multifaktorautentisering kommer det att finnas tre rader med ett delat korrelations-ID och tre motsvarande autentiseringsmetoder (dvs. formulär, AzureMFA, multifaktor). I det här exemplet visar multifaktorn i det här fallet att enkel inloggning har en MFA.
Vilka fel kan jag se i rapporten? En fullständig lista över AD FS-relaterade fel som fylls i i inloggningsrapporten och beskrivningar finns i referensen för AD FS-hjälpfelkod
Jag ser "000000000-0000-0000-0000-0000000000000" i avsnittet "Användare" i en inloggning. Vad betyder det? Om inloggningen misslyckades och UPN-försöket inte matchar ett befintligt UPN kommer fälten "Användare", "Användarnamn" och "Användar-ID" att vara "000000000-0000-0000-0000-000000000000" och "Inloggningsidentifierare" fylls med det värde som användaren har angett. I dessa fall finns inte den användare som försöker logga in.
Hur kan jag korrelera mina lokala händelser med Microsoft Entra-inloggningsrapporten? Microsoft Entra Anslut Health-agenten för AD FS korrelerar händelse-ID:n från AD FS som är beroende av serverversionen. Händelserna kommer att vara tillgängliga i säkerhetsloggen för AD FS-servrarna.
Varför visas NotSet eller NotApplicable i program-ID/namn för vissa AD FS-inloggningar? Ad FS-inloggningsrapporten visar OAuth-ID:n i fältet Program-ID för OAuth-inloggningar. I WS-Fed- och WS-Trust-inloggningsscenarierna kommer program-ID:t att vara NotSet eller NotApplicable och resurs-ID:n och förlitande partsidentifierare finns i fältet Resurs-ID.
Varför ser jag fälten Resurs-ID och Resursnamn som "Inte inställt"? Fälten ResourceId/Name är "NotSet" i vissa felfall, till exempel "Användarnamn och Lösenord är felaktiga" och i WSTrust-baserade misslyckade inloggningar.
Finns det några mer kända problem med rapporten i förhandsversionen? Rapporten har ett känt problem där fältet "Autentiseringskrav" på fliken "Grundläggande information" fylls i som ett värde för enkel faktorautentisering för AD FS-inloggningar oavsett inloggning. Fliken Autentiseringsinformation visar dessutom "Primär eller Sekundär" under fältet Krav, med en korrigering pågår för att särskilja primära eller sekundära autentiseringstyper.