- 記事
次のドキュメントは、Azure AD Connect Health を使用した AD FS インフラストラクチャの監視に特化しています。 Azure AD Connect Health を使用した Azure AD Connect (同期) の監視については、「Azure AD Connect Health」を参照してください。Azure AD Connect Health を使用した同期。さらに、Azure AD Connect Health を使用した Active Directory ドメイン サービスの監視については、次を参照してください。AD DS での Azure AD Connect Health の使用。
AD FS のアラート
[Azure AD Connect Health Alerts] セクションには、アクティブなアラートのリストが表示されます。各アラートには、関連情報、解決手順、関連ドキュメントへのリンクが含まれています。
アクティブなアラートまたは解決済みのアラートをダブルクリックすると、追加情報、アラートを解決するために実行できる手順、および関連ドキュメントへのリンクを含む新しいブレードが開きます。過去に解決されたアラートの履歴データを表示することもできます。
AD FS の使用状況分析
Azure AD Connect Health 使用状況分析は、フェデレーション サーバーの認証トラフィックを分析します。使用状況分析ボックスをダブルクリックすると、使用状況分析ブレードが開き、いくつかの指標とグループが表示されます。
ノート
AD FS で使用状況分析を使用するには、AD FS 監査が有効になっていることを確認する必要があります。詳細については、を参照してください。AD FS の監査を有効にする。
追加のメトリクスを選択するには、時間範囲を指定するか、グループ化を変更するには、使用状況分析グラフを右クリックし、「グラフの編集」を選択します。その後、時間範囲を指定したり、別のメトリックを選択したり、グループ化を変更したりできます。さまざまな「メトリクス」に基づいて認証トラフィックの分布を表示し、次のセクションで説明する関連する「グループ化」パラメータを使用して各メトリクスをグループ化できます。
メトリクス: 総リクエスト数- AD FS サーバーによって処理されたリクエストの合計数。
| グループ化 | グループ化の意味とそれがなぜ役立つのでしょうか? |
|---|---|
| 全て | すべての AD FS サーバーによって処理された要求の合計数を示します。 |
| 応用 | 対象となる証明書利用者に基づいてリクエストの合計をグループ化します。このグループ化は、どのアプリケーションが総トラフィックの何パーセントを受信しているかを理解するのに役立ちます。 |
| サーバ | リクエストを処理したサーバーに基づいてリクエストの合計をグループ化します。このグループ化は、トラフィック全体の負荷分散を理解するのに役立ちます。 |
| 職場参加 | 職場に参加している (既知の) デバイスからのリクエストであるかどうかに基づいて、合計リクエストをグループ化します。このグループ化は、アイデンティティ インフラストラクチャにとって未知のデバイスを使用してリソースにアクセスしているかどうかを理解するのに役立ちます。 |
| 認証方法 | 認証に使用された認証方法に基づいて、リクエストの合計をグループ化します。このグループ化は、認証に使用される一般的な認証方法を理解するのに役立ちます。可能な認証方法は次のとおりです
フェデレーション サーバーが SSO Cookie を含むリクエストを受信した場合、そのリクエストは SSO (シングル サインオン) としてカウントされます。このような場合、Cookie が有効であれば、ユーザーは資格情報の入力を求められず、アプリケーションにシームレスにアクセスできます。この動作は、フェデレーション サーバーによって保護されている証明書利用者が複数ある場合に一般的です。 |
| ネットワークの場所 | ユーザーのネットワークの場所に基づいてリクエストの合計をグループ化します。イントラネットでもエクストラネットでも構いません。このグループ化は、イントラネットとエクストラネットからのトラフィックの割合を知るのに役立ちます。 |
メトリック: 失敗したリクエストの合計- フェデレーション サービスによって処理され、失敗したリクエストの合計数。 (このメトリクスは、Windows Server 2012 R2 の AD FS でのみ利用可能です)
| グループ化 | グループ化の意味とそれがなぜ役立つのでしょうか? |
|---|---|
| エラーの種類 | 事前定義されたエラー タイプに基づいてエラーの数を表示します。このグループ化は、一般的なタイプのエラーを理解するのに役立ちます。
|
| サーバ | サーバーに基づいてエラーをグループ化します。このグループ化は、サーバー間のエラー分布を理解するのに役立ちます。不均一な分布は、サーバーが障害状態にあることを示す可能性があります。 |
| ネットワークの場所 | リクエストのネットワークの場所 (イントラネットとエクストラネット) に基づいてエラーをグループ化します。このグループ化は、失敗したリクエストの種類を理解するのに役立ちます。 |
| 応用 | 対象となるアプリケーション (証明書利用者) に基づいて障害をグループ化します。このグループ化は、どの対象アプリケーションで最も多くのエラーが発生しているかを把握するのに役立ちます。 |
メトリクス: ユーザー数- AD FS を使用してアクティブに認証している一意のユーザーの平均数
| グループ化 | グループ化の意味とそれがなぜ役立つのでしょうか? |
|---|---|
| 全て | このメトリクスは、選択したタイム スライスでフェデレーション サービスを使用するユーザーの平均数を示します。ユーザーはグループ化されていません。 平均は、選択したタイム スライスによって異なります。 |
| 応用 | 対象となるアプリケーション (証明書利用者) に基づいてユーザーの平均数をグループ化します。このグループ化は、何人のユーザーがどのアプリケーションを使用しているかを把握するのに役立ちます。 |
AD FS のパフォーマンス監視
Azure AD Connect Health Performance Monitoring は、メトリックに関する監視情報を提供します。 [監視] ボックスを選択すると、メトリックに関する詳細情報を含む新しいブレードが開きます。
ブレードの上部にある [フィルター] オプションを選択すると、サーバーごとにフィルターして、個々のサーバーのメトリックを表示できます。メトリックを変更するには、モニタリング ブレードの下にあるモニタリング チャートを右クリックし、[チャートの編集] を選択します (または [チャートの編集] ボタンを選択します)。開いた新しいブレードで、ドロップダウンから追加のメトリックを選択し、パフォーマンス データを表示する時間範囲を指定できます。
ユーザー名/パスワードによるログインに失敗した上位 50 人のユーザー
AD FS サーバーで認証要求が失敗する一般的な理由の 1 つは、無効な資格情報、つまりユーザー名またはパスワードが間違っている要求です。通常、複雑なパスワード、忘れたパスワード、またはタイプミスが原因でユーザーに発生します。
ただし、AD FS サーバーによって予期しない数のリクエストが処理される可能性がある他の理由もあります。ユーザー資格情報をキャッシュするアプリケーションで資格情報の有効期限が切れたり、悪意のあるユーザーが一連のウェルを使用してアカウントにサインインしようとしたりする場合があります。 -既知のパスワード。これら 2 つの例は、リクエストの急増につながる可能性がある正当な理由です。
Azure AD Connect Health for ADFS は、無効なユーザー名またはパスワードが原因でログイン試行に失敗した上位 50 ユーザーに関するレポートを提供します。このレポートは、ファーム内のすべての AD FS サーバーによって生成された監査イベントを処理することによって作成されます。
このレポート内では、次の情報に簡単にアクセスできます。
- 過去 30 日間に間違ったユーザー名/パスワードで失敗したリクエストの合計数
- 不正なユーザー名/パスワードでログインに失敗したユーザーの 1 日あたりの平均数。
この部分をクリックすると、メイン レポート ブレードが表示され、追加の詳細が表示されます。このブレードには、間違ったユーザー名またはパスワードを使用したリクエストに関するベースラインを確立するのに役立つ傾向情報を含むグラフが含まれています。さらに、過去 1 週間に失敗した試行回数の上位 50 人のユーザーのリストも提供されます。過去 1 週間の上位 50 ユーザーが、不正なパスワードの急増を特定するのに役立つ可能性があることに注意してください。
グラフは次の情報を提供します。
- 不正なユーザー名/パスワードが原因で失敗したログインの 1 日あたりの合計数。
- ログインに失敗したユニーク ユーザーの 1 日あたりの合計数。
- 最後のリクエストのクライアント IP アドレス
レポートには次の情報が含まれます。
| 報告項目 | 説明 |
|---|---|
| ユーザーID | 使用されたユーザーIDが表示されます。この値はユーザーが入力した値であり、場合によっては、間違ったユーザー ID が使用されています。 |
| 失敗した試行 | 特定のユーザー ID の失敗した試行の合計数を表示します。この表は、失敗した試行回数が最も多いものの降順に並べ替えられています。 |
| 最後の失敗 | 最後に障害が発生したときのタイムスタンプを表示します。 |
| 前回の失敗IP | 最新の不正なリクエストからのクライアント IP アドレスを表示します。この値に複数の IP アドレスが表示される場合は、ユーザーの最後の試行リクエスト IP とともに転送クライアント IP が含まれる可能性があります。 |
ノート
このレポートは、12 時間ごとに、その時間内に収集された新しい情報で自動的に更新されます。その結果、過去 12 時間以内のログイン試行はレポートに含まれない場合があります。
- Azure AD Connect の健全性
- Azure AD Connect Health エージェントのインストール
- リスクのある知財レポート
FAQs
Azure ADとADFSの違いは何ですか? ›
Azure ADとADFSの違い
しかしADFSは、シングルサインオンを実現するために複雑なサーバ構築が求められますが、Azure ADは同期のためのサーバ1台で実現可能となるため、導入・運用にまつわるコストを抑えることができるという違いがあります。
シングルサインオン(SSO)とは、一度のログインで複数のシステム・サービスを利用できることを指します。 ADFSの場合、社内のActive Directoryで一度認証すると、複数のシステム・サービスへログインできるため利便性が向上します。 パスワード忘れなどのリスクも軽減できるでしょう。
Azure Active Directory Connect Healthの通知設定は? ›Azure AD Connect Health の電子メール通知を有効にするには
Azure Portal で、Azure AD Connect Health を検索します。 [通知設定] を選択します。 電子メール通知スイッチで、 [オン] を選択します。
Azure AD Join とは、デバイスから Azure AD に直接参加して、そのデバイスを Azure AD上で管理できるようにする方法です。
ADFSのデメリットは? ›- 社外から社内へのネットワークの穴あけなどによるセキュリティリスク
- 中継するリバースプロキシなどの導入による運用管理の負担増
- クレームルール(ADFSに記述する制御ルール)の複雑化による運用管理の負担増
フェデレーションとは、信頼が確立されたドメインのコレクションのことです。 信頼のレベルは異なる場合がありますが、通常は認証が含まれ、また、ほぼ常に承認が含まれます。 標準的なフェデレーションには、一連のリソースへの共有アクセスのために信頼が確立された多くの組織が含まれる場合があります。
フェデレーションサーバーとは何ですか? ›フェデレーション サーバーとは、Windows Server 2008 を実行し、AD FS ソフトウェアがインストールされているコンピューターであり、フェデレーション サーバーの役割を実行するように構成されています。
ADFS認証の仕組みは? ›ADFS の仕組み ADFS は、Active Directory と対象アプリケーションの間でホストされるプロキシサービスを経由して認証を管理します。 認証連携(Federated Trust)を利用して ADFS と対象アプリケーションをリンクし、ユーザーにアクセス許可する仕組みとなっています。
ADFSとはどういう意味ですか? ›Active Directory Federation Service(ADFS)は、クラウドなど社外の各種サービスに対する認証を、社内のActive Directory(AD)認証基盤に一元化するための機能です。
Azure AD Connectをアンインストールするにはどうすればいいですか? ›- Azure AD Connect が実行されているサーバーで、 [コントロール パネル] に移動します。
- [プログラムのアンインストール] ...
- [Azure AD Connect] を選びます。
- メッセージが表示されたら、 [はい] をクリックして確認します。
Azure AD参加済みデバイスとは何ですか? ›
Azure AD 登録済みデバイスには、Windows 10 以降のデバイスでの Microsoft アカウントのようなローカル アカウントを使用してサインインできます。 これらのデバイスには、組織のリソースにアクセスするための Azure AD アカウントがあります。
IntuneとActive Directoryの違いは何ですか? ›Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。 対して、Intuneはデバイスを管理するためのツールです。 Intuneで端末を社内のポリシーに準拠させることができます。
ハイブリッド参加とは何ですか? ›従来のように参加者全員が同じ場所に集まるのではなく、参加者の一部(または多く)が別の場所から「オンラインで」参加する、新しい会議スタイルです。
Azure ADのフェデレーションを解除するにはどうすればいいですか? ›- IIJ IDコンソールで、「アプリケーション」の「アプリケーションの管理」をクリックします。
- Microsoft 365アプリケーションの「編集する」をクリックします。
- 「フェデレーション設定」をクリックします。
- フェデレーションを解除したいドメインの「解除」をクリックします。
- 「解除する」をクリックします。
ADFSと各サービスは利用者の識別情報と認証状態などを通知する「トークン」(token)と呼ばれるデータを交換し、パスワードなどの秘密の情報の登録や照合などはADFS側が集中的に管理する。
シングルサインオンとは何ですか? ›シングルサインオン(SSO:Single Sign On)とは、1度のユーザー認証によって複数のシステム(業務アプリケーションやクラウドサービスなど)の利用が可能になる仕組みを指します。 システムを利用する際、通常は利用者を特定するためにユーザー認証が行われます。
ADFSの認証フローは? ›大まかな AD FS 認証フロー
AD FS は、AD FS でクライアントとリソースの登録時に取得したクライアント ID を使用して、認証要求のクライアント ID を検証します。 機密クライアントを使用している場合、AD FS は、認証要求で提供されたクライアント シークレットも検証します。
フェデレーション 【federation】
フェデレーションとは、連邦、連合、連盟などの意味を持つ英単語。
多要素認証は(二要素認証)、基本パスワードを利用する以外、別の方法でパスワードを要求されます。 ケータイのSMSや電子メールにコードの送信、またアプリのワンタイムパスワードの発行などがあります。 必要な要素が2つの場合は、二要素認証、2段階認証とも呼ばれます。
ADFSをアンインストールするにはどうすればいいですか? ›- コントロール パネルを開きます。
- プログラムと機能 を開きます。
- WatchGuard AuthPoint ADFS を開きます。
- アンインストール をクリックします。
- はい をクリックします。
AzureのデバイスIDとは何ですか? ›
デバイス ID は、Azure Active Directory (Azure AD) 内のオブジェクトです。 このデバイス オブジェクトは、ユーザー、グループ、またはアプリケーションに似ています。 デバイス ID は、管理者がアクセスまたは構成の決定を行うときに使用できる情報を提供します。
Azure ADのデバイス制限はいくつですか? ›Azure の [ユーザーごとのデバイスの最大数] 設定は 20 に設定されています。
Azure ADの確認方法は? ›Azure portal にサインインします。 メニューから [Azure Active Directory] を選択します。 [Azure Active Directory の概要 ] ページが表示されます。
MicrosoftアカウントとAzure ADアカウントの違いは何ですか? ›MicrosoftアカウントとAzure ADアカウントは、いずれもMicrosoftのクラウドサービスにユーザIDとパスワードを登録しますが、Microsoftアカウントはメールアドレスさえあれば誰でも登録できるのに対し、Azure ADアカウントは組織単位で管理画面からユーザIDとパスワードを登録する必要があります ...
Azure ADディレクトリとは何ですか? ›Azure AD ディレクトリは、テナントのユーザー、グループ、およびアプリを含み、テナント リソースに対して ID およびアクセス管理機能を実行するために使用されます。 新しい Azure AD ディレクトリにはすべて、 domainname.onmicrosoft.com のような初期ドメイン名が付けられます。
ハイブリッド開催のデメリットは? ›- 3.1. オンライン配信用の機材が必要になる
- 3.2. すべての参加者に配慮した進行が難しい
- 3.3. 通常よりコストがかかる場合がある
ハイブリット学会・オンライン学会の際のライブ配信を配信業者に依頼すると、シンプルな配信でもカメラ担当・音響担当・配信担当と3名分の人件費と機材代が掛かります。 1日1会場につき、おおよそ20万円~30万円の費用になります。
Active DirectoryとAzure Active Directoryは何が違うのか? ›Active Directoryではアクセス許可の割り当てはユーザーまたはグループを利用して行います。 それに対して、Azure ADではユーザーまたはグループ単位での設定はもちろんのこと、IPサブネット単位、デバイス単位など、アクセス許可の割り当て方法は多彩になっています。
フェデレーションとはどういう意味ですか? ›フェデレーションとは、一般には連邦や連合という意味になりますが、インターネットの世界で使われた場合には、複数のインターネット サービス間のユーザ認証連携を意味します。 複数のサービスで認証情報を共有することで、1度のユーザ認証で複数のサービスを利用可能にします。
Azure ADは必須ですか? ›Microsoft 365やMicrosoft AzureなどのMicrosoftのクラウドサービスの利用にはAzure ADが必須です。 またAzure ADのアカウントを利用して、多くのサードパーティーのクラウドサービスでの認証を行うことができます。
AzureとSharepointの違いは何ですか? ›
このように、「共有」といっても、Sharepointではファイルを直接全員で共有するのに対して、Azureではデータの置き場として共有されているだけで、それをどこに引用するか、どのタイミングで書き込むかは個別のロジック(アプリケーション)に依存することになります。
Azure ADの目的は何ですか? ›Azure Active Directory (Azure AD) は、クラウドベースの ID およびアクセス管理サービスです。 Azure AD を使うと、従業員が Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにアクセスできるようになり。
フェデレーションログインとは何ですか? ›フェデレーション(認証連携)とは、複数のサービスを利用する際に、別システムで認証されているため再度認証画面を表示しないで連携する仕組みをさします。
フェデレーション認証サービスとは何ですか? ›フェデレーション認証サービス(FAS)はActive Directory証明機関(CA)と統合して、Citrix環境内でのシームレスなユーザー認証を実現するCitrixコンポーネントです。
Azure ADのリフレッシュトークンの有効期限は? ›Azure AD によって発行されたアクセス トークンの有効期限は、既定では 1 時間です。 認証プロトコルで許可されている場合、アプリは、アクセス トークンの有効期限が切れたときに更新トークンを Azure AD に渡すことで、ユーザーを自動で再認証できます。
フェデレーションドメインの確認方法は? ›フェデレーション先の Azure AD のグローバル管理者の資格情報を入力します。 PowerShell にて「get-msoldomain」と実行すると、下記のとおり、カスタム ドメインがフェデレーション ドメインであることが確認できます。