はじめに
AD FS と [証明書利用者信頼] として直接フェデレーション関係を結んでいるアプリケーションの認証ログは AD FS の [監査ログ] に記録されます。
AD FS 向けの Microsoft Entra Connect Health エージェントを AD FS サーバーにインストールことで、AD FS サーバーの監査ログがエージェント経由で Entra ID テナントに転送され、Entra ID テナントのサインイン ログ上で確認できるようになります。
AD FS サーバーにログオンすることなく Entra ID テナント上で確認が可能となるとともに、最終的に Entra ID にアプリケーションを移行する際にも Entra ID テナント上で各アプリケーションの使用状況を確認できるようになります。
参考情報
AD FS 向けの Microsoft Entra Connect Health エージェントのインストール方法については、以下公開情報に必要条件も含めて細かく明記されていますので、以下参考情報を確認ください。
AD FS 用の Microsoft Entra Connect Health エージェント
AD FS サーバー側の監査ログ
上記公開情報に AD FS サーバー側の監査ログの有効化の手順も記載されています。
監査をログを有効化することで AD FS の [イベント ビューアー] - [Windows ログ] - [セキュリティ] の順に選択することで表示されるセキュリティ ログが表示されます。
ログのフィルター条件として以下画面ショットのように [イベント ソース] を [AD FS Auditing] を選択します。
上記フィルターにより以下画面ショットのように AD FS 認証時のイベントが確認できるようになります。
Entra ID テナントのサインイン ログで AD FS 認証ログを確認する
今まで案内した AD FS 向けの Microsoft Entra Connect Health エージェントのインストールと AD FS サーバー側で監査ログを有効化することで、エージェント経由で Entra ID に監査ログが転送されてきます。
実際にログを確認してみましょう
Entra ID テナントの [監視] の項目にある [サインイン ログ] を選択します。
画面上部にある [フィルターの追加] をクリックします。
フィールドの選択の画面で [トークン発行元の種類] を選択し [適用] をクリックします。
トークン発行元の種類の画面で [フェデレーション (ADFS)] を選択し [適用] をクリックします。
上記フィルターを設定すると AD FS の [証明書利用者信頼] で認証したログが表示されます。
表示例)
表示の形式は Entra ID ユーザーでマネージド認証した時と同様のフォーマットで確認できます。
[基本情報] タブ
[場所] タブ
[認証の詳細] タブ
以下画面ショットから AD FS の [フォーム認証] を利用して認証したことが分かります。
[追加の詳細] タブ
以下画面ショットから SAML 連携したアプリケーションであり、extranet として WAP サーバーを経由した認証であることが分かります。
WAP サーバーを経由せずにイントラネット経由の AD FS 認証の場合は ADFS ネットワークが [intranet] と記録されます。ドメインに参加しているコンピューターのローカル IP が IP チェーンに記録されていることからも、イントラネット経由の認証であると判断できます。
おわりに
AD FS 向けの Microsoft Entra Connect Health エージェントを AD FS サーバーにインストールし、監査ログを AD FS サーバー上で有効化することで、上記のように Entra ID テナントのサインイン ログ上でも AD FS 経由の認証ログが確認可能となります。
Entra ID に IdP を集約していくにあたって現状を把握するための手段としても有効かと思いますので、本 Tips が今後の運用に参考になれば幸いです。