AD FS-inloggningar i Microsoft Entra-ID med Connect Health – förhandsversion
AD FS-inloggningar kan nu integreras i Microsoft Entra-inloggningsrapporten med hjälp av Connect Health. Rapporten microsoft entra-inloggningsrapport innehåller information om när användare, program och hanterade resurser loggar in på Microsoft Entra-ID och åtkomstresurser.
Connect Health för AD FS-agenten korrelerar flera händelse-ID:n från AD FS, beroende på serverversionen, för att ge information om begäran och felinformation om begäran misslyckas. Den här informationen är korrelerad till Microsoft Entra-inloggningsrapportschemat och visas i Microsoft Entra-inloggningsrapportens UX. Vid sidan av rapporten finns en ny Log Analytics-ström tillgänglig med AD FS-data och en ny Azure Monitor-arbetsboksmall. Mallen kan användas och ändras för en djupgående analys för scenarier som AD FS-kontoutelåsningar, felaktiga lösenordsförsök och toppar av oväntade inloggningsförsök.
Förutsättningar
- Microsoft Entra Connect Health för AD FS har installerats och uppgraderats till den senaste versionen (3.1.95.0 eller senare).
- Rollen Rapportläsare för att visa Microsoft Entra-inloggningar
Vilka data visas i rapporten?
Tillgängliga data speglar samma data som är tillgängliga för Microsoft Entra-inloggningar. Fem flikar med information är tillgängliga baserat på typen av inloggning, antingen Microsoft Entra ID eller AD FS. Connect Health korrelerar händelser från AD FS, beroende på serverversionen, och matchar dem med AD FS-schemat.
Användarinloggningar
Varje flik på inloggningsbladet visar standardvärdena nedan:
- Inloggningsdatum
- ID för begäran
- Användarnamn eller användar-ID
- Status för inloggningen
- IP-adressen för den enhet som används för inloggningen
- Inloggningsidentifierare
Information om autentiseringsmetod
Följande värden kan visas på fliken autentisering. Autentiseringsmetoden hämtas från AD FS-granskningsloggarna.
| Autentiseringsmetod | beskrivning |
|---|---|
| Formulär | Autentisering med användarnamn/lösenord |
| Windows | Windows-integrerad autentisering |
| Certifikat | Autentisering med SmartCard/VirtualSmart-certifikat |
| WindowsHelloForBusiness | Det här fältet är för autentisering med Windows Hello za posao. (Microsoft Passport-autentisering) |
| Enhet | Visas om Enhetsautentisering har valts som "primär" autentisering från intranät/extranät och Enhetsautentisering utförs. Det finns ingen separat användarautentisering i det här scenariot. |
| Federerade | AD FS gjorde inte autentiseringen men skickade den till en tredjepartsidentitetsprovider |
| Enkel inloggning | Om en token för enkel inloggning användes visas det här fältet. Om enkel inloggning har en MFA visas den som Multifactor |
| Multifaktor | Om en token för enkel inloggning har en MFA och som användes för autentisering visas det här fältet som Multifactor |
| Microsoft Entra multifaktorautentisering | Microsoft Entra multifaktorautentisering har valts som ytterligare autentiseringsprovider i AD FS och användes för autentisering |
| ADFSExternalAuthenticationProvider | Det här fältet är om en tredjepartsautentiseringsprovider registrerades och användes för autentisering |
Ytterligare information om AD FS
Följande information är tillgänglig för AD FS-inloggningar:
- Servernamn
- IP-kedja
- Protokoll
Aktivera Log Analytics och Azure Monitor
Log Analytics kan aktiveras för AD FS-inloggningar och kan användas med andra Log Analytics-integrerade komponenter, till exempel Sentinel.
Kommentar
AD FS-inloggningar kan öka Log Analytics-kostnaden avsevärt, beroende på mängden inloggningar till AD FS i din organisation. Om du vill aktivera och inaktivera Log Analytics markerar du kryssrutan för strömmen.
Om du vill aktivera Log Analytics för funktionen går du till Log Analytics-bladet och väljer strömmen "ADFSSignIns". Med den här markeringen kan AD FS-inloggningar flöda till Log Analytics.
Om du vill komma åt den uppdaterade Azure Monitor-arbetsboksmallen går du till "Azure Monitor-mallar" och väljer arbetsboken "inloggningar". Mer information om arbetsböcker finns i Azure Monitor-arbetsböcker.
Vanliga frågor och svar
Vilka typer av inloggningar kan jag se? Inloggningsrapporten stöder inloggningar via protokollen O-Auth, WS-Fed, SAML och WS-Trust.
Hur visas olika typer av inloggningar i inloggningsrapporten? Om en sömlös SSO-inloggning utförs finns det en rad för inloggningen med ett korrelations-ID. Om en enskild faktorautentisering utförs fylls två rader i med samma korrelations-ID, men med två olika autentiseringsmetoder (dvs. Formulär, enkel inloggning). Vid multifaktorautentisering finns det tre rader med ett delat korrelations-ID och tre motsvarande autentiseringsmetoder (dvs. Forms, Microsoft Entra multifaktorautentisering, Multifactor). I det här exemplet visar multifaktorn i det här fallet att enkel inloggning har en MFA.
Vilka fel kan jag se i rapporten? En fullständig lista över AD FS-relaterade fel som fylls i i inloggningsrapporten och beskrivningar finns i referensen för AD FS-hjälpfelkod
Jag ser "000000000-0000-0000-0000-0000000000000" i avsnittet "Användare" i en inloggning. Vad betyder det? Om inloggningen misslyckades och upn-försöket inte matchar ett befintligt UPN är fälten "Användare", "Användarnamn" och "Användar-ID" "000000000-0000-0000-0000-00000000000000" och "Inloggnings-ID" fyllt med det värde som användaren försökte ange. I dessa fall finns inte den användare som försöker logga in.
Hur kan jag korrelera mina lokala händelser med Microsoft Entra-inloggningsrapporten? Microsoft Entra Connect Health-agenten för AD FS korrelerar händelse-ID:n från AD FS som är beroende av serverversionen. Händelserna är tillgängliga i säkerhetsloggen för AD FS-servrarna.
Varför visas NotSet eller NotApplicable i program-ID/namn för vissa AD FS-inloggningar? Ad FS-inloggningsrapporten visar OAuth-ID:n i fältet Program-ID för OAuth-inloggningar. I WS-Fed, WS-Trust-inloggningsscenarier är program-ID:t NotSet eller NotApplicable och resurs-ID:n och förlitande partsidentifierare finns i fältet Resurs-ID.
Varför ser jag fälten Resurs-ID och Resursnamn som "Inte inställt"? Fälten ResourceId/Name är "NotSet" i vissa felfall, till exempel "Användarnamn och Lösenord är felaktiga" och i WSTrust-baserade misslyckade inloggningar.
Finns det några mer kända problem med rapporten i förhandsversionen? Rapporten har ett känt problem där fältet "Autentiseringskrav" på fliken "Grundläggande information" fylls i som ett värde för enkel faktorautentisering för AD FS-inloggningar oavsett inloggning. På fliken Autentiseringsinformation visas dessutom "Primär eller Sekundär" under fältet Krav, med en korrigering pågår för att särskilja primära eller sekundära autentiseringstyper.