Dela via


Övervaka och granska loggar för lokala Microsoft Entra ID-miljöer för lösenordsskydd

Efter distributionen av Microsoft Entra Password Protection är övervakning och rapportering viktiga uppgifter. Den här artikeln går in i detalj för att hjälpa dig att förstå olika övervakningstekniker, inklusive var varje tjänst loggar information och hur du rapporterar om användningen av Microsoft Entra Password Protection.

Övervakning och rapportering utförs antingen av händelseloggmeddelanden eller genom att köra PowerShell-cmdletar. DC-agenten och proxytjänsterna loggar både händelseloggmeddelanden. Alla PowerShell-cmdletar som beskrivs nedan är endast tillgängliga på proxyservern (se PowerShell-modulen AzureADPasswordProtection). DC-agentprogramvaran installerar inte någon PowerShell-modul.

Händelseloggning för DC-agent

På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifieringsåtgärd (och annan status) till en lokal händelselogg:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Administratörsloggen för DC-agenten är den primära informationskällan för hur programvaran beter sig.

Observera att spårningsloggen är inaktiverad som standard.

Händelser som loggas av de olika DC-agentkomponenterna ligger inom följande intervall:

Komponent Händelse-ID-intervall
DLL för dc-agentens lösenordsfilter 10000-19999
Värdprocess för DC-agenttjänsten 20000-29999
Valideringslogik för DOMÄN-agentens tjänstprincip 30000-39999

Händelselogg för DC-agentadministratör

Resultathändelser för lösenordsverifiering

På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifiering till händelseloggen för DOMÄN-agentadministratören.

För en lyckad lösenordsverifieringsåtgärd loggas vanligtvis en händelse från DLL:en för dc-agentens lösenordsfilter. För en misslyckad lösenordsverifieringsåtgärd är det vanligtvis två händelser som loggas, en från DC-agenttjänsten och en från DLL:et för dc-agentens lösenordsfilter.

Diskreta händelser för att fånga dessa situationer loggas, baserat på följande faktorer:

  • Om ett visst lösenord har angetts eller ändrats.
  • Om valideringen av ett angivet lösenord har skickats eller misslyckats.
  • Om valideringen misslyckades på grund av Microsofts globala princip, organisationsprincipen eller en kombination.
  • Om granskningsläget för närvarande är aktiverat eller inaktiverat för den aktuella lösenordsprincipen.

De viktiga händelserna för lösenordsverifiering är följande:

Event Lösenordsändring Lösenordsuppsättning
Godkänd 10014 10015
Misslyckas (på grund av kundens lösenordsprincip) 10016, 30002 10017, 30003
Misslyckas (på grund av Microsofts lösenordsprincip) 10016, 30004 10017, 30005
Misslyckas (på grund av kombinerade Microsoft- och kundlösenordsprinciper) 10016, 30026 10017, 30027
Misslyckas (på grund av användarnamn) 10016, 30021 10017, 30022
Endast granskningspass (skulle ha misslyckats med kundens lösenordsprincip) 10024, 30008 10025, 30007
Endast granskningspass (skulle ha misslyckats med Microsofts lösenordsprincip) 10024, 30010 10025, 30009
Endast granskningspass (skulle ha misslyckats med att kombinera Microsofts och kundens lösenordsprinciper) 10024, 30028 10025, 30029
Endast granskningspass (skulle ha misslyckats på grund av användarnamnet) 10016, 30024 10017, 30023

De fall i tabellen ovan som refererar till "kombinerade principer" avser situationer där en användares lösenord visade sig innehålla minst en token från både listan över förbjudna lösenord från Microsoft och kundens lista över förbjudna lösenord.

De fall i tabellen ovan som refererar till "användarnamn" refererar till situationer där en användares lösenord visade sig innehålla antingen användarens kontonamn och/eller ett av användarens egna namn. Antingen kommer användarens lösenord att avvisas när principen är inställd på Framtvinga eller skickas om principen är i granskningsläge.

När ett par händelser loggas tillsammans associeras båda händelserna uttryckligen med samma CorrelationId.

Sammanfattning av lösenordsverifiering via PowerShell

Cmdleten Get-AzureADPasswordProtectionSummaryReport kan användas för att skapa en sammanfattningsvy över lösenordsverifieringsaktiviteten. Ett exempel på utdata från den här cmdleten är följande:

Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController                : bplrootdc2
PasswordChangesValidated        : 6677
PasswordSetsValidated           : 9
PasswordChangesRejected         : 10868
PasswordSetsRejected            : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 1

Omfattningen för cmdletens rapportering kan påverkas med hjälp av parametrarna -Forest, -Domain eller -DomainController. Att inte ange en parameter innebär – Skog.

Kommentar

Om du bara installerar DC-agenten på en domänkontrollant läser Get-AzureADPasswordProtectionSummaryReport endast händelser från domänkontrollanten. För att hämta händelser från flera domänkontrollanter behöver du DC-agenten installerad på varje domänkontrollant.

Cmdleten Get-AzureADPasswordProtectionSummaryReport fungerar genom att fråga domänkontrollantens administratörshändelselogg och sedan räkna det totala antalet händelser som motsvarar varje utfallskategori som visas. Följande tabell innehåller mappningarna mellan varje resultat och dess motsvarande händelse-ID:

Get-AzureADPasswordProtectionSummaryReport-egenskapen Motsvarande händelse-ID
PasswordChangesValidated 10014
PasswordSetsValidated 10015
PasswordChangesRejected 10016
PasswordSetsRejected 10017
PasswordChangeAuditOnlyFailures 10024
PasswordSetAuditOnlyFailures 10025
PasswordChangeErrors 10012
PasswordSetErrors 10013

Observera att cmdleten Get-AzureADPasswordProtectionSummaryReport levereras i PowerShell-skriptformulär och vid behov kan refereras direkt till följande plats:

%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1

Kommentar

Den här cmdleten fungerar genom att öppna en PowerShell-session för varje domänkontrollant. För att lyckas måste stöd för PowerShell-fjärrsessioner vara aktiverat på varje domänkontrollant och klienten måste ha tillräcklig behörighet. Mer information om krav för PowerShell-fjärrsessioner finns i "Get-Help about_Remote_Troubleshooting" i ett PowerShell-fönster.

Kommentar

Den här cmdleten fungerar genom att fjärrfråga varje DC-agenttjänsts administratörshändelselogg. Om händelseloggarna innehåller ett stort antal händelser kan cmdleten ta lång tid att slutföra. Dessutom kan massnätverksfrågor för stora datamängder påverka domänkontrollantens prestanda. Därför bör denna cmdlet användas noggrant i produktionsmiljöer.

Exempel på händelseloggmeddelanden

Händelse-ID 10014 (lyckad lösenordsändring)

The changed password for the specified user was validated as compliant with the current Azure password policy.

UserName: SomeUser
FullName: Some User

Händelse-ID 10017 (lösenordsändringen misslyckades):

The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.

UserName: SomeUser
FullName: Some User

Händelse-ID 30003 (lösenordsändringen misslyckades):

The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.

UserName: SomeUser
FullName: Some User

Händelse-ID 10024 (lösenord accepteras på grund av princip i endast granskningsläge)

The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details. 
 
UserName: SomeUser
FullName: Some User

Händelse-ID 30008 (lösenord accepteras på grund av princip i endast granskningsläge)

The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted. 

UserName: SomeUser
FullName: Some User

Händelse-ID 30001 (lösenord accepteras på grund av att ingen princip är tillgänglig)

The password for the specified user was accepted because an Azure password policy is not available yet

UserName: SomeUser
FullName: Some User

This condition may be caused by one or more of the following reasons:%n

1. The forest has not yet been registered with Azure.

   Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.

2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.

   Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.

3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.

   Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.

4. This DC does not have connectivity to other domain controllers in the domain.

   Resolution steps: ensure network connectivity exists to the domain.

Händelse-ID 30006 (Ny princip tillämpas)

The service is now enforcing the following Azure password policy.

 Enabled: 1
 AuditOnly: 1
 Global policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000Z
 Tenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600Z
 Enforce tenant policy: 1

Händelse-ID 30019 (Microsoft Entra Password Protection är inaktiverat)

The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.

No further events will be logged until the policy is changed.%n

DC-agentens driftlogg

DC-agenttjänsten loggar även driftrelaterade händelser till följande logg:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

Spårningslogg för DC-agent

DC-agenttjänsten kan också logga utförliga spårningshändelser på felsökningsnivå till följande logg:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Spårningsloggning är inaktiverad som standard.

Varning

När den är aktiverad tar spårningsloggen emot en stor mängd händelser och kan påverka domänkontrollantens prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.

DC Agent-textloggning

DC-agenttjänsten kan konfigureras för att skriva till en textlogg genom att ange följande registervärde:

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)

Textloggning är inaktiverad som standard. En omstart av DC-agenttjänsten krävs för att ändringarna av det här värdet ska börja gälla. När den är aktiverad skrivs DC-agenttjänsten till en loggfil som finns under:

%ProgramFiles%\Azure AD Password Protection DC Agent\Logs

Dricks

Textloggen tar emot samma poster på felsökningsnivå som kan loggas till spårningsloggen, men är i allmänhet i ett enklare format att granska och analysera.

Varning

När den här loggen är aktiverad får den en stor mängd händelser och kan påverka domänkontrollantens prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.

Prestandaövervakning av DC-agent

DC-agentens tjänstprogramvara installerar ett prestandaräknareobjekt med namnet Microsoft Entra Password Protection. Följande perf-räknare är för närvarande tillgängliga:

Namn på perf-räknare beskrivning
Bearbetade lösenord Den här räknaren visar det totala antalet bearbetade lösenord (accepterade eller avvisade) sedan den senaste omstarten.
Lösenord accepteras Den här räknaren visar det totala antalet lösenord som har godkänts sedan den senaste omstarten.
Lösenord har avvisats Den här räknaren visar det totala antalet lösenord som avvisades sedan den senaste omstarten.
Begäranden om lösenordsfilter pågår Den här räknaren visar antalet begäranden om lösenordsfilter som pågår.
Begäranden om högsta lösenordsfilter Den här räknaren visar det högsta antalet samtidiga begäranden om lösenordsfilter sedan den senaste omstarten.
Fel vid begäran om lösenordsfilter Den här räknaren visar det totala antalet begäranden om lösenordsfilter som misslyckades på grund av ett fel sedan den senaste omstarten. Fel kan inträffa när Tjänsten Microsoft Entra Password Protection DC-agenten inte körs.
Begäranden om lösenordsfilter per sekund Den här räknaren visar hur snabbt lösenord bearbetas.
Bearbetningstid för begäran om lösenordsfilter Den här räknaren visar den genomsnittliga tid som krävs för att bearbeta en begäran om lösenordsfilter.
Högsta bearbetningstid för begäran om lösenordsfilter Den här räknaren visar den högsta bearbetningstiden för lösenordsfilterbegäran sedan den senaste omstarten.
Lösenord som godkänts på grund av granskningsläge Den här räknaren visar det totala antalet lösenord som normalt skulle ha avvisats, men som accepterades eftersom lösenordsprincipen har konfigurerats för att vara i granskningsläge (sedan den senaste omstarten).

IDENTIFIERING av DC-agent

Cmdleten Get-AzureADPasswordProtectionDCAgent kan användas för att visa grundläggande information om de olika DC-agenter som körs i en domän eller skog. Den här informationen hämtas från tjänsten Anslut ionPoint-objekt som registrerats av de dc-agenttjänster som körs.

Ett exempel på utdata från den här cmdleten är följande:

Get-AzureADPasswordProtectionDCAgent
ServerFQDN            : bplChildDC2.bplchild.bplRootDomain.com
Domain                : bplchild.bplRootDomain.com
Forest                : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC          : 2/16/2018 8:35:02 AM

De olika egenskaperna uppdateras av varje DC-agenttjänst ungefär varje timme. Data omfattas fortfarande av Svarstid för Active Directory-replikering.

Omfånget för cmdletens fråga kan påverkas med parametrarna – Skog eller –Domän.

Om heartbeatUTC-värdet blir inaktuellt kan detta vara ett symptom på att Microsoft Entra Password Protection DC-agenten på domänkontrollanten inte körs eller har avinstallerats eller att datorn degraderats och inte längre är en domänkontrollant.

Om värdet PasswordPolicyDateUTC blir inaktuellt kan det vara ett symptom på att Microsoft Entra Password Protection DC-agenten på datorn inte fungerar korrekt.

Dc-agentens nyare version är tillgänglig

DC-agenttjänsten loggar en 30034-varningshändelse i driftloggen när den upptäcker att en nyare version av DC-agentprogramvaran är tillgänglig, till exempel:

An update for Azure AD Password Protection DC Agent is available.

If autoupgrade is enabled, this message may be ignored.

If autoupgrade is disabled, refer to the following link for the latest version available:

https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions

Current version: 1.2.116.0

Händelsen ovan anger inte versionen av den nyare programvaran. Du bör gå till länken i händelsemeddelandet för den informationen.

Kommentar

Trots referenser till "autoupgrade" i händelsemeddelandet ovan stöder DC-agentprogramvaran för närvarande inte den här funktionen.

Händelseloggning för proxytjänst

Proxytjänsten genererar en minimal uppsättning händelser till följande händelseloggar:

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace

Observera att spårningsloggen är inaktiverad som standard.

Varning

När den är aktiverad tar spårningsloggen emot en stor mängd händelser och detta kan påverka proxyvärdens prestanda. Därför bör den här loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.

Händelser loggas av de olika proxykomponenterna med hjälp av följande intervall:

Komponent Händelse-ID-intervall
Proxytjänstvärdprocess 10000-19999
Affärslogik för proxytjänstens kärna 20000-29999
PowerShell-cmdletar 30000-39999

Textloggning för proxytjänst

Proxytjänsten kan konfigureras för att skriva till en textlogg genom att ange följande registervärde:

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (REG_DWORD värde)

Textloggning är inaktiverad som standard. En omstart av proxytjänsten krävs för att ändringarna av det här värdet ska börja gälla. När den är aktiverad skrivs proxytjänsten till en loggfil som finns under:

%ProgramFiles%\Azure AD Password Protection Proxy\Logs

Dricks

Textloggen tar emot samma poster på felsökningsnivå som kan loggas till spårningsloggen, men är i allmänhet i ett enklare format att granska och analysera.

Varning

När den här loggen är aktiverad får den en stor mängd händelser och kan påverka datorns prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.

PowerShell-cmdlet-loggning

PowerShell-cmdletar som resulterar i en tillståndsändring (till exempel Register-AzureADPasswordProtectionProxy) loggar normalt en resultathändelse till driftloggen.

Dessutom skriver de flesta Microsoft Entra Password Protection PowerShell-cmdletar till en textlogg under:

%ProgramFiles%\Azure AD Password Protection Proxy\Logs

Om ett cmdlet-fel inträffar och orsaken och\eller lösningen inte är uppenbar, kan dessa textloggar också konsulteras.

Proxyidentifiering

Cmdleten Get-AzureADPasswordProtectionProxy kan användas för att visa grundläggande information om de olika Microsoft Entra-lösenordsskyddsproxytjänster som körs i en domän eller skog. Den här informationen hämtas från tjänsten Anslut ionPoint-objekt som registrerats av proxytjänsten som körs.

Ett exempel på utdata från den här cmdleten är följande:

Get-AzureADPasswordProtectionProxy
ServerFQDN            : bplProxy.bplchild2.bplRootDomain.com
Domain                : bplchild2.bplRootDomain.com
Forest                : bplRootDomain.com
HeartbeatUTC          : 12/25/2018 6:35:02 AM

De olika egenskaperna uppdateras av varje proxytjänst ungefär varje timme. Data omfattas fortfarande av Svarstid för Active Directory-replikering.

Omfånget för cmdletens fråga kan påverkas med parametrarna – Skog eller –Domän.

Om heartbeatUTC-värdet blir inaktuellt kan det vara ett symptom på att Microsoft Entra-lösenordsskyddsproxyn på datorn inte körs eller har avinstallerats.

Proxyagentens nyare version är tillgänglig

Proxytjänsten loggar en varningshändelse från 20002 till driftloggen när den upptäcker att en nyare version av proxyprogramvaran är tillgänglig, till exempel:

An update for Azure AD Password Protection Proxy is available.

If autoupgrade is enabled, this message may be ignored.

If autoupgrade is disabled, refer to the following link for the latest version available:

https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions

Current version: 1.2.116.0
.

Händelsen ovan anger inte versionen av den nyare programvaran. Du bör gå till länken i händelsemeddelandet för den informationen.

Den här händelsen genereras även om proxyagenten har konfigurerats med autoupgrade aktiverat.

Nästa steg

Felsökning för Microsoft Entra-lösenordsskydd

Mer information om listan över globala och anpassade förbjudna lösenord finns i artikeln Ban bad passwords (Förbjuda felaktiga lösenord)