AAD Connect Healthを利用したADFSサーバーの監視

皆さんこんにちは。国井です。

今週はAzure ADとMicrosoft Intune関連の情報を連続して投稿しています。
連投でそろそろ肩が壊れそうです。

今日は、Azure AD Premiumの機能として先日登場したAAD Connect Healthという機能を使ってみましたので、ここにも掲載しておきます。
AAD Connect Healthとは、Azure Active Directory Connect Healthの略で、オンプレミスに実装したADFSサーバーやプロキシの状態をクラウドから監視するだけでなく、ADFSサーバーの利用状況なども併せて確認できる、監視ツールです。

■Azure Active Directory Connect Health
https://msdn.microsoft.com/ja-jp/library/azure/Dn906722.aspx

AAD Connect HealthはMicrosoft Azureの新しいポータルから利用可能なツールで、
[セキュリティ+ID]-[Azure AD Connect Health]から新しいインスタンスを作成します。

image

どのAzure ADドメインで利用するかを選択し、

image

[クイックスタート]をクリックして、

image

[Download Azure AD Connect Health Agent for ADFS]をクリックして、ツールをダウンロードします。

image

ダウンロードしたツールはADFSサーバー上で実行し、インストールします。

aadh001

インストールが完了したら、[今すぐ構成する]をクリックし、

aadh002

Azure ADの管理者アカウントでサインインすると、

aadh003

PowerShellスクリプトが実行されて構成されます。

image

インストールが完了したら、Azure管理ポータルを参照します。すると、エージェントがインストールされたADFSサーバーの台数が表示され、ADFSサーバーの稼働状況が確認できます。
また、画面右下に注目すると、

ga159

24時間以内にADFSサーバーを経由して、どのようなアプリケーションへのアクセスがあったかやトークンの発行数などが確認できます。ただし、アプリケーションは名前ではなく、ADFSサーバーに登録されたURNと呼ばれる識別名で表示されるので、少しわかりにくいです。(ちなみに、urn:federation:MicrosoftOnlineというのがOffice365へのシングルサインオンです。)
このあたりはURNではなく、証明書利用者信頼の名前で表示するなど、していただけると、よりわかりやすいかなと。
今後の改善に期待ですね。

image

なお、アプリケーションへのアクセス状況等は、ADFSサーバーのセキュリティログから情報を抽出して表示しているので、セキュリティログにADFSのアクセスログが残るよう、事前に設定しておく必要があります。この設定についてはMVP渡辺さんのブログで紹介しているので、合わせて参考にしてください。

参考サイト
Monitor your on-premises identity infrastructure in the cloud
https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-health/