Часто задаваемые вопросы о Microsoft Entra Connect Health

Чтобы переключиться между разными клиентами Microsoft Entra, выберите имя пользователя, вошедшего в систему, в правом верхнем углу и выберите соответствующую учетную запись. Если учетная запись не указана здесь, нажмите кнопку "Выйти". Затем используйте учетные данные глобального администратора каталога с включенным идентификатором Microsoft Entra ID P1 или P2 (P1 или P2).

В следующей таблице перечислены роли и поддерживаемые версии операционной системы.

Установки Windows Server Core не поддерживаются.

Обратите внимание, что функции, предоставляемые службой, могут отличаться в зависимости от роли и операционной системы. Не для всех версий операционной системы могут быть доступны все возможности. Ознакомьтесь с описанием функций, чтобы получить дополнительные сведения.

• Для первого агента Connect Health требуется как минимум одна лицензия Microsoft Entra P1 или P2.
• Для каждого дополнительного зарегистрированного агента требуется 25 лицензий Microsoft Entra P1 или P2.
• Число агентов эквивалентно общему количеству агентов, зарегистрированных во всех отслеживаемых ролях (AD FS, Microsoft Entra Connect и /или AD DS).
• Лицензирование Microsoft Entra Connect Health не требует назначения лицензии определенным пользователям. Вам потребуется только необходимое количество допустимых лицензий.

Сведения о лицензировании также находятся на странице ценообразования Microsoft Entra.

Пример:

Да, все агенты обновляются автоматически при наличии новой версии агента.

Нет, автоматическое обновление является обязательным. Если вы не хотите, чтобы агент обновлялся при выпуске новой версии, необходимо удалить агент.

Влияние установки агента работоспособности Microsoft Entra Connect, AD FS, прокси-серверов веб-приложений, серверов Microsoft Entra Connect (синхронизации) и контроллеров домена минимально в отношении ЦП, потребления памяти, пропускной способности сети и хранилища.

Следующие значения являются приблизительными:

• Загрузка ЦП: увеличение примерно на 1–5 %.
• Потребление памяти: до 10 % от общего объема системной памяти.

• Локальное хранилище буфера для агентов Microsoft Entra Connect Health: ~20 МБ.
• Для серверов AD FS мы рекомендуем выделить дисковое пространство объемом 1024 МБ (1 ГБ) для канала аудита AD FS, чтобы агенты Microsoft Entra Connect Health могли обработать все данные аудита перед их перезаписью.

№ Установка агентов не требует перезагрузки сервера. Однако установка некоторых необходимых компонентов может потребовать перезагрузки сервера.

Например, для установки .NET 4.6.2 Framework может потребоваться перезагрузка сервера.

Да. Для текущих операций можно настроить агент работоспособности, чтобы пересылать исходящие HTTP-запросы, используя прокси-сервер HTTP. Узнайте больше о настройке прокси-сервера HTTP для агентов мониторинга состояния.

Если необходимо настроить прокси-сервер во время регистрации агента, следует заранее изменить параметры прокси-сервера для Internet Explorer.

1. Откройте Internet Explorer и последовательно выберите >Сервис>Свойства браузера>Подключения>Настройка параметров локальной сети.
2. Установите флажок Использовать прокси-сервер для локальной сети.
3. Выберите Дополнительно, если у вас разные порты прокси-сервера для HTTP и HTTPS/Защищенного подключения.

№ Сейчас механизм указания произвольного имени пользователя и пароля для обычной проверки подлинности не поддерживается.

В разделе Требования перечислены порты брандмауэра и другие требования к подключению.

При удалении агента с сервера сервер не удаляется автоматически с портала Microsoft Entra Connect Health. Если вы вручную удалите агент с сервера или удалите сам сервер, необходимо вручную удалить запись сервера на портале Microsoft Entra Connect Health. Чтобы удалить отслеживаемые серверы из Microsoft Entra Connect Health, необходимо иметь разрешения учетной записи глобального администратора Microsoft Entra или роль участника в управлении доступом на основе ролей Azure.

Можно пересоздать образ сервера или создать новый сервер, указав те же сведения (например, имя компьютера). Если вы не удалили уже зарегистрированный сервер с портала Microsoft Entra Connect Health и установили агент на новом сервере, вы можете увидеть две записи с одинаковым именем.

В этом случае вручную удалите запись, которая относится к старому серверу. Данные для этого сервера устарели.

№ Установка на Server Core не поддерживается.

Чтобы установить Connect Health для агента синхронизации, необходимо быть глобальным администратором. Чтобы активировать агент, необходимо переустановить агент с помощью учетной записи глобального администратора.

Возможные причины, по которым регистрация агента контроля состояния может не произойти:

• Агент не может взаимодействовать с необходимыми конечными точками, так как брандмауэр блокирует трафик. Это особенно часто происходит на прокси-серверах веб-приложений. Убедитесь, что вы разрешили исходящее подключение к необходимым конечным точкам и портам. Дополнительные сведения см. в разделе Требования.
• Исходящие подключения проверяются протоколом TLS на сетевом уровне. В результате сертификат, используемый агентом, заменяется проверяющим сервером или сущностью, что приводит к сбою на этапах завершения регистрации агента.
• Пользователь не может выполнить регистрацию агента. Глобальные администраторы могут по умолчанию. Можно использовать управление доступом на основе ролей Azure (Azure RBAC) и делегировать доступ другим пользователям.

Microsoft Entra Connect Health создает аларм, если система не получает все доступные точки данных с сервера за последние два часа. Дополнительные сведения

Нет, включать аудит на прокси-серверах веб-приложений не требуется.

Оповещения о состоянии Microsoft Entra Connect Health снимаются при выполнении условия успешного выполнения. Агенты работоспособности Microsoft Entra Connect обнаруживают и периодически сообщают в службу о показателях успешности. Для некоторых оповещений подавление основано на времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов после создания оповещения, оно автоматически разрешается.

Microsoft Entra Connect Health для AD FS создает это оповещение, когда агент мониторинга, установленный на сервере AD FS, не может получить токен в рамках искусственной транзакции, инициированной агентом мониторинга. Агент работоспособности использует контекст локальной системы и пытается получить токен для стороны, которая доверяет себе. Это общая проверка, которая определяет, находится ли AD FS в состоянии выдачи токенов.

Чаще всего эта ошибка происходит, так как агенту работоспособности не удается распознать имя фермы AD FS. Это может происходить, если серверы AD FS находятся за балансировщиками нагрузки сети, и запрос инициируется из узла за балансировщиком нагрузки (в отличие от регулярного клиента, который находится перед балансировщиком нагрузки). Эту проблему можно устранить, обновив файл hosts, расположенный в разделе C:\Windows\System32\drivers\etc , чтобы включить IP-адрес сервера AD FS или IP-адрес обратного цикла (127.0.0.1) для имени фермы AD FS (например sts.contoso.com). Добавление файла узла обходит сетевой вызов, что позволяет агенту работоспособности получить токен.

Служба Microsoft Entra Connect Health проверила все компьютеры, которые он отслеживает, чтобы убедиться, что установлены необходимые исправления. Электронное письмо было отправлено администраторам арендатора, если хотя бы на одном компьютере отсутствовали критически важные исправления. Для определения этого использовалась следующая логика.

1. Найти все исправления, установленные на компьютере.
2. Проверить, присутствует ли хотя бы один из хотфиксов из определенного списка.
3. Если да, компьютер защищен. Если нет, компьютер находится под угрозой атаки.

Вы можете использовать следующий сценарий PowerShell, чтобы выполнить проверку вручную. Она реализует указанную выше логику.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Пожалуйста, используйте командлет PowerShell Get-AdfsProperties -AuditLevel, чтобы убедиться, что журналы аудита не отключены. Подробнее о журналах аудита AD FS. Обратите внимание, что если на сервер AD FS отправляются параметры аудита, все изменения, внесённые с помощью auditpol.exe, перезаписываются, даже если события, созданные приложением, не настроены. В этом случае настройте локальную политику безопасности для ведения журнала сбоев и успешных выполнений созданного приложения.

Сертификация агента автоматически обновляется шесть месяцев до истечения срока действия. Если он не продлевается, убедитесь, что сетевое подключение агента стабильно. Кроме того, можно перезапустить службы агента или выполнить обновление до последней версии.

Дополнительные ссылки

• Microsoft Entra Connect Health
• Установка агента мониторинга Microsoft Entra Connect
• Операции Microsoft Entra Connect Health
• Использование Microsoft Entra Connect Health с AD FS
• Использование Microsoft Entra Connect Health для синхронизации
• Использование Microsoft Entra Connect Health с AD DS
• Журнал версий Microsoft Entra Connect Health