Övervaka och granska loggar för lokala Microsoft Entra ID-miljöer för lösenordsskydd
Efter distributionen av Microsoft Entra Password Protection är övervakning och rapportering viktiga uppgifter. Den här artikeln går in i detalj för att hjälpa dig att förstå olika övervakningstekniker, inklusive var varje tjänst loggar information och hur du rapporterar om användningen av Microsoft Entra Password Protection.
Övervakning och rapportering utförs antingen av händelseloggmeddelanden eller genom att köra PowerShell-cmdletar. DC-agenten och proxytjänsterna loggar både händelseloggmeddelanden. Alla PowerShell-cmdletar som beskrivs nedan är endast tillgängliga på proxyservern (se PowerShell-modulen AzureADPasswordProtection). DC-agentprogramvaran installerar inte någon PowerShell-modul.
Händelseloggning för DC-agent
På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifieringsåtgärd (och annan status) till en lokal händelselogg:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Administratörsloggen för DC-agenten är den primära informationskällan för hur programvaran beter sig.
Observera att spårningsloggen är inaktiverad som standard.
Händelser som loggas av de olika DC-agentkomponenterna ligger inom följande intervall:
| Komponent | Händelse-ID-intervall |
|---|---|
| DLL för dc-agentens lösenordsfilter | 10000-19999 |
| Värdprocess för DC-agenttjänsten | 20000-29999 |
| Valideringslogik för DOMÄN-agentens tjänstprincip | 30000-39999 |
Händelselogg för DC-agentadministratör
Resultathändelser för lösenordsverifiering
På varje domänkontrollant skriver DC-agenttjänstens programvara resultatet av varje enskild lösenordsverifiering till händelseloggen för DOMÄN-agentadministratören.
För en lyckad lösenordsverifieringsåtgärd loggas vanligtvis en händelse från DLL:en för dc-agentens lösenordsfilter. För en misslyckad lösenordsverifieringsåtgärd är det vanligtvis två händelser som loggas, en från DC-agenttjänsten och en från DLL:et för dc-agentens lösenordsfilter.
Diskreta händelser för att fånga dessa situationer loggas, baserat på följande faktorer:
- Om ett visst lösenord har angetts eller ändrats.
- Om valideringen av ett angivet lösenord har skickats eller misslyckats.
- Om valideringen misslyckades på grund av Microsofts globala princip, organisationsprincipen eller en kombination.
- Om granskningsläget för närvarande är aktiverat eller inaktiverat för den aktuella lösenordsprincipen.
De viktiga händelserna för lösenordsverifiering är följande:
| Event | Lösenordsändring | Lösenordsuppsättning |
|---|---|---|
| Godkänd | 10014 | 10015 |
| Misslyckas (på grund av kundens lösenordsprincip) | 10016, 30002 | 10017, 30003 |
| Misslyckas (på grund av Microsofts lösenordsprincip) | 10016, 30004 | 10017, 30005 |
| Misslyckas (på grund av kombinerade Microsoft- och kundlösenordsprinciper) | 10016, 30026 | 10017, 30027 |
| Misslyckas (på grund av användarnamn) | 10016, 30021 | 10017, 30022 |
| Endast granskningspass (skulle ha misslyckats med kundens lösenordsprincip) | 10024, 30008 | 10025, 30007 |
| Endast granskningspass (skulle ha misslyckats med Microsofts lösenordsprincip) | 10024, 30010 | 10025, 30009 |
| Endast granskningspass (skulle ha misslyckats med att kombinera Microsofts och kundens lösenordsprinciper) | 10024, 30028 | 10025, 30029 |
| Endast granskningspass (skulle ha misslyckats på grund av användarnamnet) | 10016, 30024 | 10017, 30023 |
De fall i tabellen ovan som refererar till "kombinerade principer" avser situationer där en användares lösenord visade sig innehålla minst en token från både listan över förbjudna lösenord från Microsoft och kundens lista över förbjudna lösenord.
De fall i tabellen ovan som refererar till "användarnamn" refererar till situationer där en användares lösenord visade sig innehålla antingen användarens kontonamn och/eller ett av användarens egna namn. Antingen kommer användarens lösenord att avvisas när principen är inställd på Framtvinga eller skickas om principen är i granskningsläge.
När ett par händelser loggas tillsammans associeras båda händelserna uttryckligen med samma CorrelationId.
Sammanfattning av lösenordsverifiering via PowerShell
Cmdleten Get-AzureADPasswordProtectionSummaryReport kan användas för att skapa en sammanfattningsvy över lösenordsverifieringsaktiviteten. Ett exempel på utdata från den här cmdleten är följande:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Omfattningen för cmdletens rapportering kan påverkas med hjälp av parametrarna -Forest, -Domain eller -DomainController. Att inte ange en parameter innebär – Skog.
Kommentar
Om du bara installerar DC-agenten på en domänkontrollant läser Get-AzureADPasswordProtectionSummaryReport endast händelser från domänkontrollanten. För att hämta händelser från flera domänkontrollanter behöver du DC-agenten installerad på varje domänkontrollant.
Cmdleten Get-AzureADPasswordProtectionSummaryReport fungerar genom att fråga domänkontrollantens administratörshändelselogg och sedan räkna det totala antalet händelser som motsvarar varje utfallskategori som visas. Följande tabell innehåller mappningarna mellan varje resultat och dess motsvarande händelse-ID:
| Get-AzureADPasswordProtectionSummaryReport-egenskapen | Motsvarande händelse-ID |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Observera att cmdleten Get-AzureADPasswordProtectionSummaryReport levereras i PowerShell-skriptformulär och vid behov kan refereras direkt till följande plats:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Kommentar
Den här cmdleten fungerar genom att öppna en PowerShell-session för varje domänkontrollant. För att lyckas måste stöd för PowerShell-fjärrsessioner vara aktiverat på varje domänkontrollant och klienten måste ha tillräcklig behörighet. Mer information om krav för PowerShell-fjärrsessioner finns i "Get-Help about_Remote_Troubleshooting" i ett PowerShell-fönster.
Kommentar
Den här cmdleten fungerar genom att fjärrfråga varje DC-agenttjänsts administratörshändelselogg. Om händelseloggarna innehåller ett stort antal händelser kan cmdleten ta lång tid att slutföra. Dessutom kan massnätverksfrågor för stora datamängder påverka domänkontrollantens prestanda. Därför bör denna cmdlet användas noggrant i produktionsmiljöer.
Exempel på händelseloggmeddelanden
Händelse-ID 10014 (lyckad lösenordsändring)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Händelse-ID 10017 (lösenordsändringen misslyckades):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Händelse-ID 30003 (lösenordsändringen misslyckades):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Händelse-ID 10024 (lösenord accepteras på grund av princip i endast granskningsläge)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Händelse-ID 30008 (lösenord accepteras på grund av princip i endast granskningsläge)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Händelse-ID 30001 (lösenord accepteras på grund av att ingen princip är tillgänglig)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
Händelse-ID 30006 (Ny princip tillämpas)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Händelse-ID 30019 (Microsoft Entra Password Protection är inaktiverat)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
DC-agentens driftlogg
DC-agenttjänsten loggar även driftrelaterade händelser till följande logg:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Spårningslogg för DC-agent
DC-agenttjänsten kan också logga utförliga spårningshändelser på felsökningsnivå till följande logg:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Spårningsloggning är inaktiverad som standard.
Varning
När den är aktiverad tar spårningsloggen emot en stor mängd händelser och kan påverka domänkontrollantens prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.
DC Agent-textloggning
DC-agenttjänsten kan konfigureras för att skriva till en textlogg genom att ange följande registervärde:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Textloggning är inaktiverad som standard. En omstart av DC-agenttjänsten krävs för att ändringarna av det här värdet ska börja gälla. När den är aktiverad skrivs DC-agenttjänsten till en loggfil som finns under:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Dricks
Textloggen tar emot samma poster på felsökningsnivå som kan loggas till spårningsloggen, men är i allmänhet i ett enklare format att granska och analysera.
Varning
När den här loggen är aktiverad får den en stor mängd händelser och kan påverka domänkontrollantens prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.
Prestandaövervakning av DC-agent
DC-agentens tjänstprogramvara installerar ett prestandaräknareobjekt med namnet Microsoft Entra Password Protection. Följande perf-räknare är för närvarande tillgängliga:
| Namn på perf-räknare | beskrivning |
|---|---|
| Bearbetade lösenord | Den här räknaren visar det totala antalet bearbetade lösenord (accepterade eller avvisade) sedan den senaste omstarten. |
| Lösenord accepteras | Den här räknaren visar det totala antalet lösenord som har godkänts sedan den senaste omstarten. |
| Lösenord har avvisats | Den här räknaren visar det totala antalet lösenord som avvisades sedan den senaste omstarten. |
| Begäranden om lösenordsfilter pågår | Den här räknaren visar antalet begäranden om lösenordsfilter som pågår. |
| Begäranden om högsta lösenordsfilter | Den här räknaren visar det högsta antalet samtidiga begäranden om lösenordsfilter sedan den senaste omstarten. |
| Fel vid begäran om lösenordsfilter | Den här räknaren visar det totala antalet begäranden om lösenordsfilter som misslyckades på grund av ett fel sedan den senaste omstarten. Fel kan inträffa när Tjänsten Microsoft Entra Password Protection DC-agenten inte körs. |
| Begäranden om lösenordsfilter per sekund | Den här räknaren visar hur snabbt lösenord bearbetas. |
| Bearbetningstid för begäran om lösenordsfilter | Den här räknaren visar den genomsnittliga tid som krävs för att bearbeta en begäran om lösenordsfilter. |
| Högsta bearbetningstid för begäran om lösenordsfilter | Den här räknaren visar den högsta bearbetningstiden för lösenordsfilterbegäran sedan den senaste omstarten. |
| Lösenord som godkänts på grund av granskningsläge | Den här räknaren visar det totala antalet lösenord som normalt skulle ha avvisats, men som accepterades eftersom lösenordsprincipen har konfigurerats för att vara i granskningsläge (sedan den senaste omstarten). |
IDENTIFIERING av DC-agent
Cmdleten Get-AzureADPasswordProtectionDCAgent kan användas för att visa grundläggande information om de olika DC-agenter som körs i en domän eller skog. Den här informationen hämtas från tjänsten Anslut ionPoint-objekt som registrerats av de dc-agenttjänster som körs.
Ett exempel på utdata från den här cmdleten är följande:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
De olika egenskaperna uppdateras av varje DC-agenttjänst ungefär varje timme. Data omfattas fortfarande av Svarstid för Active Directory-replikering.
Omfånget för cmdletens fråga kan påverkas med parametrarna – Skog eller –Domän.
Om heartbeatUTC-värdet blir inaktuellt kan detta vara ett symptom på att Microsoft Entra Password Protection DC-agenten på domänkontrollanten inte körs eller har avinstallerats eller att datorn degraderats och inte längre är en domänkontrollant.
Om värdet PasswordPolicyDateUTC blir inaktuellt kan det vara ett symptom på att Microsoft Entra Password Protection DC-agenten på datorn inte fungerar korrekt.
Dc-agentens nyare version är tillgänglig
DC-agenttjänsten loggar en 30034-varningshändelse i driftloggen när den upptäcker att en nyare version av DC-agentprogramvaran är tillgänglig, till exempel:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
Händelsen ovan anger inte versionen av den nyare programvaran. Du bör gå till länken i händelsemeddelandet för den informationen.
Kommentar
Trots referenser till "autoupgrade" i händelsemeddelandet ovan stöder DC-agentprogramvaran för närvarande inte den här funktionen.
Händelseloggning för proxytjänst
Proxytjänsten genererar en minimal uppsättning händelser till följande händelseloggar:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Observera att spårningsloggen är inaktiverad som standard.
Varning
När den är aktiverad tar spårningsloggen emot en stor mängd händelser och detta kan påverka proxyvärdens prestanda. Därför bör den här loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.
Händelser loggas av de olika proxykomponenterna med hjälp av följande intervall:
| Komponent | Händelse-ID-intervall |
|---|---|
| Proxytjänstvärdprocess | 10000-19999 |
| Affärslogik för proxytjänstens kärna | 20000-29999 |
| PowerShell-cmdletar | 30000-39999 |
Textloggning för proxytjänst
Proxytjänsten kan konfigureras för att skriva till en textlogg genom att ange följande registervärde:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (REG_DWORD värde)
Textloggning är inaktiverad som standard. En omstart av proxytjänsten krävs för att ändringarna av det här värdet ska börja gälla. När den är aktiverad skrivs proxytjänsten till en loggfil som finns under:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Dricks
Textloggen tar emot samma poster på felsökningsnivå som kan loggas till spårningsloggen, men är i allmänhet i ett enklare format att granska och analysera.
Varning
När den här loggen är aktiverad får den en stor mängd händelser och kan påverka datorns prestanda. Därför bör den här förbättrade loggen endast aktiveras när ett problem kräver djupare undersökning och sedan bara under en minimal tid.
PowerShell-cmdlet-loggning
PowerShell-cmdletar som resulterar i en tillståndsändring (till exempel Register-AzureADPasswordProtectionProxy) loggar normalt en resultathändelse till driftloggen.
Dessutom skriver de flesta Microsoft Entra Password Protection PowerShell-cmdletar till en textlogg under:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Om ett cmdlet-fel inträffar och orsaken och\eller lösningen inte är uppenbar, kan dessa textloggar också konsulteras.
Proxyidentifiering
Cmdleten Get-AzureADPasswordProtectionProxy kan användas för att visa grundläggande information om de olika Microsoft Entra-lösenordsskyddsproxytjänster som körs i en domän eller skog. Den här informationen hämtas från tjänsten Anslut ionPoint-objekt som registrerats av proxytjänsten som körs.
Ett exempel på utdata från den här cmdleten är följande:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
De olika egenskaperna uppdateras av varje proxytjänst ungefär varje timme. Data omfattas fortfarande av Svarstid för Active Directory-replikering.
Omfånget för cmdletens fråga kan påverkas med parametrarna – Skog eller –Domän.
Om heartbeatUTC-värdet blir inaktuellt kan det vara ett symptom på att Microsoft Entra-lösenordsskyddsproxyn på datorn inte körs eller har avinstallerats.
Proxyagentens nyare version är tillgänglig
Proxytjänsten loggar en varningshändelse från 20002 till driftloggen när den upptäcker att en nyare version av proxyprogramvaran är tillgänglig, till exempel:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
Händelsen ovan anger inte versionen av den nyare programvaran. Du bör gå till länken i händelsemeddelandet för den informationen.
Den här händelsen genereras även om proxyagenten har konfigurerats med autoupgrade aktiverat.
Nästa steg
Felsökning för Microsoft Entra-lösenordsskydd
Mer information om listan över globala och anpassade förbjudna lösenord finns i artikeln Ban bad passwords (Förbjuda felaktiga lösenord)