使用 Connect Health 在 Microsoft Entra ID 中进行 AD FS 登录 - 预览版
现在,可以使用 Connect Health 将 AD FS 登录集成到 Microsoft Entra 登录报告中。 Microsoft Entra 登录报告包含有关用户、应用程序和受管理资源何时登录到 Microsoft Entra ID 并访问资源的信息。
Connect Health for AD FS 代理会关联 AD FS 中的多个事件 ID(具体取决于服务器版本),以便在请求失败时提供有关请求的信息和错误详细信息。 此信息与 Microsoft Entra 登录报告架构相关,并显示在 Microsoft Entra 登录报告 UX 中。 除报告以外,还会连同 AD FS 数据以及新的 Azure Monitor 工作簿模板一起提供新的 Log Analytics 流。 可以使用并修改该模板,以便对 AD FS 帐户锁定、错误的密码尝试和出现意外登录尝试高峰等场景进行深入分析。
先决条件
- Microsoft Entra Connect Health for AD FS 已安装并已升级到最新版本(3.1.95.0 或更高版本)。
- 用于查看 Microsoft Entra 登录的全局管理员或报告读取者角色
报告中显示哪些数据?
可用的数据反映了为 Microsoft Entra 登录过程提供的数据。将根据登录类型(Microsoft Entra ID 或 AD FS)提供五个包含信息的选项卡。 Connect Health 关联 AD FS 中的事件(具体取决于服务器版本),并将其与 AD FS 架构相匹配。
用户登录
登录边栏选项卡中的每个选项卡显示以下默认值:
- 登录日期
- 请求 ID
- 用户名或用户 ID
- 登录的状态
- 用于登录的设备的 IP 地址
- 登录标识符
身份验证方法信息
身份验证选项卡中可能会显示以下值。身份验证方法取自 AD FS 审核日志。
| 身份验证方法 | 说明 |
|---|---|
| 窗体 | 用户名/密码身份验证 |
| Windows | Windows 集成身份验证 |
| 证书 | 使用智能卡/VirtualSmart 证书进行身份验证 |
| WindowsHelloForBusiness | 此字段适用于通过 Windows Hello 企业版进行的身份验证。 (Microsoft Passport 身份验证) |
| 设备 | 如果选择“设备身份验证”作为 Intranet/Extranet 中的“主要”身份验证并执行设备身份验证,则会显示此方法。 在这种情况下没有单独的用户身份验证。 |
| 联合 | AD FS 未执行身份验证,而是将其发送到了第三方标识提供者 |
| SSO | 如果使用了单一登录令牌,则会显示此字段。 如果 SSO 包含 MFA,该字段将显示为“多重” |
| 多重 | 如果单一登录令牌包含 MFA 并使用了该 MFA 方法进行身份验证,则该字段将显示为“多重” |
| Azure MFA | Azure MFA 已选作 AD FS 中的附加身份验证提供程序并已用于身份验证 |
| ADFSExternalAuthenticationProvider | 此字段指示是否已注册第三方身份验证提供程序并将其用于身份验证 |
AD FS 更多详细信息
将提供 AD FS 登录的以下详细信息:
- 服务器名称
- IP 链
- 协议
启用 Log Analytics 和 Azure Monitor
可为 AD FS 登录启用 Log Analytics,并可将 Log Analytics 与 Log Analytics 集成的任何其他组件(例如 Sentinel)配合使用。
注意
AD FS 登录可能会显著提高 Log Analytics 成本,具体取决于组织中的 AD FS 登录量。 若要启用和禁用 Log Analytics,请选中流对应的复选框。
若要为该功能启用 Log Analytics,请导航到“Log Analytics”边栏选项卡并选择“ADFSSignIns”流。 做出此项选择将允许 AD FS 登录流入 Log Analytics。
若要访问更新的 Azure Monitor 工作簿模板,请导航到“Azure Monitor 模板”并选择“登录”工作簿。 有关工作簿的详细信息,请访问 Azure Monitor 工作簿。
常见问题
我可能看到哪些类型的登录?登录报告支持通过 O-Auth、WS-Fed、SAML 和 WS-Trust 协议登录。
不同类型的登录是如何在登录报告中显示的? 如果执行无缝 SSO 登录,则登录对应一行和一个相关 ID。 如果执行了单重身份验证,将在两行中填充同一相关 ID,但还会在两行中填充两种不同的身份验证方法(例如 Forms、SSO)。 如果执行了多重身份验证,则会显示三行,其中包含共享的相关 ID 和三种对应的身份验证方法(例如 Forms、AzureMFA、多重)。 此特定示例中的身份验证方法是“多重”,其中显示 SSO 包含 MFA。
我可能在报表中看到哪些错误? 有关在登录报表和说明中填充的 AD FS 相关错误的完整列表,请访问 AD FS 帮助错误代码参考
我在登录时看到“用户”部分中显示“00000000-0000-0000-0000-000000000000”。这是什么意思? 如果登录失败并且尝试的 UPN 与现有 UPN 不匹配,则“用户”、“用户名”和“用户 ID”字段将显示“00000000-0000-0000-0000-000000000000”,并会在“登录标识符”中填充用户输入的尝试值。 在这种情况下,尝试登录的用户并不存在。
如何将本地事件关联到 Microsoft Entra 登录报告? 适用于 AD FS 的 Microsoft Entra Connect Health 代理关联依赖于服务器版本的 AD FS 中的事件 ID。 这些事件将在 AD FS 服务器的安全日志中提供。
为什么我看到一些 AD FS 登录的“应用程序 ID/名称”为 NotSet 或 NotApplicable? 对于 OAuth 登录操作,AD FS 登录报表中的“应用程序 ID”字段会显示 OAuth ID。在 WS-Fed、WS-Trust 登录方案中,“应用程序 ID”将是 NotSet 或 NotApplicable,“资源 ID”字段中将显示“资源 ID”和“信赖方”标识符。
W为什么我看到“资源 ID”和“资源名称”字段为“未设置”? 在某些错误情况下,例如“用户名和密码错误”和基于 WSTrust 的失败登录中,“ResourceId/名称”字段将设置为“未设置”。
预览阶段的报告有其他已知问题吗? 报告功能存在这样一个已知问题:不管登录方法是什么,“基本信息”选项卡中的“身份验证要求”字段中都会填充用于 AD FS 登录的单重身份验证值。 此外,“身份验证详细信息”选项卡将在“要求”字段下显示“主要或次要”,我们正在开发修复程序来区分“主要”或“次要”身份验证类型。