Nejčastější dotazy k Microsoft Entra Připojení Health

Pokud chcete přepínat mezi různými tenanty Microsoft Entra, vyberte v pravém horním rohu aktuálně přihlášené uživatelské jméno a pak zvolte příslušný účet. Pokud tady účet není uvedený, vyberte Odhlásit se. Dále se přihlaste pomocí přihlašovacích údajů globálního Správa istratoru adresáře s povoleným Id Microsoft Entra ID P1 nebo P2 (P1 nebo P2).

Následující tabulka uvádí role a podporované verze operačního systému.

Instalace jádra Windows Serveru se nepodporují.

Funkce poskytované službou se můžou lišit v závislosti na roli a operačním systému. Všechny funkce nemusí být dostupné pro všechny verze operačního systému. Podrobnosti najdete v popisech funkcí.

• První Připojení Agent health vyžaduje alespoň jednu licenci Microsoft Entra P1 nebo P2.
• Každý další registrovaný agent vyžaduje 25 dalších licencí Microsoft Entra P1 nebo P2.
• Počet agentů odpovídá celkovému počtu agentů registrovaných napříč všemi monitorovanými rolemi (AD FS, Microsoft Entra Připojení a/nebo AD DS).
• Licencování služby Microsoft Entra Připojení Health nevyžaduje přiřazení licence konkrétním uživatelům. Potřebujete jenom požadovaný počet platných licencí.

Informace o licencování najdete také na stránce s cenami Microsoft Entra.

Příklad:

Ano, všichni agenti se automaticky aktualizují, když je k dispozici nová verze agenta.

Ne, automatický upgrade je povinný. Pokud nechcete, aby se agent při vydání nové verze upgradoval, měli byste agenta odinstalovat.

Dopad instalace agenta služby Microsoft Entra Připojení Health Agent, AD FS, proxy serverů webových aplikací, serverů Microsoft Entra Připojení (synchronizace) je minimální vzhledem k procesoru, spotřebě paměti, šířce pásma sítě a úložišti.

Následující čísla představují aproximaci:

• Spotřeba procesoru: zvýšení přibližně o 1–5 %.
• Spotřeba paměti: Až 10 % celkové systémové paměti.

• Místní úložiště vyrovnávací paměti pro agenty služby Microsoft Entra Připojení Health: ~20 MB.
• Pro servery SLUŽBY AD FS doporučujeme zřídit místo na disku 1 024 MB (1 GB) pro kanál auditu služby AD FS pro agenty služby Microsoft Entra Připojení Health, abyste před přepsáním zpracovali všechna data auditu.

Ne. Instalace agentů nebude vyžadovat restartování serveru. Instalace některých požadovaných kroků ale může vyžadovat restartování serveru.

Například instalace rozhraní .NET 4.6.2 Framework může vyžadovat restartování serveru.

Ano. V případě probíhajících operací můžete agenta stavu nakonfigurovat tak, aby k předávání odchozích požadavků HTTP používal proxy server HTTP. Přečtěte si další informace o konfiguraci proxy serveru HTTP pro agenty stavu.

Pokud potřebujete nakonfigurovat proxy server během registrace agenta, možná budete muset předem upravit nastavení proxy aplikace Internet Explorer.

1. Otevřete Internet Explorer >Nastavení> Možnostiinternetu> Připojení ions>LAN Nastavení.
2. Vyberte Použít proxy server pro síť LAN.
3. Pokud máte pro HTTP a HTTPS/Secure jiné porty proxy serveru, vyberte Upřesnit .

Ne. Mechanismus pro zadání libovolného uživatelského jména a hesla pro základní ověřování se v současné době nepodporuje.

Seznamportůch

Když z serveru odeberete agenta, server se automaticky neodebere z portálu Microsoft Entra Připojení Health. Pokud ručně odeberete agenta ze serveru nebo odeberete samotný server, musíte položku serveru odstranit ručně z portálu Microsoft Entra Připojení Health. Pokud chcete odstranit monitorované servery z Microsoft Entra Připojení Health, musíte mít oprávnění účtu Microsoft Entra Global Správa istrator nebo roli Přispěvatel v řízení přístupu na základě role v Azure.

Můžete znovu vytvořit server nebo vytvořit nový server se stejnými podrobnostmi (jako je název počítače). Pokud jste neodebrali již zaregistrovaný server z portálu Microsoft Entra Připojení Health a nainstalovali jste agenta na nový server, může se zobrazit dvě položky se stejným názvem.

V takovém případě ručně odstraňte položku, která patří ke staršímu serveru. Data pro tento server by měla být zahlcená.

Ne. Instalace na jádro serveru není podporovaná.

Agent stavu se nemůže zaregistrovat z následujících možných důvodů:

• Agent nemůže komunikovat s požadovanými koncovými body, protože brána firewall blokuje provoz. Tento problém je běžný na proxy serverech webových aplikací. Ujistěte se, že jste povolili odchozí komunikaci s požadovanými koncovými body a porty. Podrobnosti najdete v části Požadavky.
• Odchozí komunikace podléhá kontrole protokolu TLS vrstvou sítě. To způsobí, že certifikát, který agent používá k nahrazení kontrolního serveru nebo entity, a kroky k dokončení registrace agenta selžou.
• Uživatel nemá přístup k provedení registrace agenta. Globální správci mají ve výchozím nastavení přístup. K delegování přístupu jiným uživatelům můžete použít řízení přístupu na základě role v Azure (Azure RBAC ).

Microsoft Entra Připojení Health vygeneruje výstrahu, když během posledních dvou hodin neobdrží všechny datové body ze serveru. Další informace.

Ne, auditování nemusí být povolené na proxy serverech webových aplikací.

Výstrahy služby Microsoft Entra Připojení Health se vyřeší v podmínce úspěchu. Agenti služby Microsoft Entra Připojení Health pravidelně detekují a hlásí podmínky úspěchu služby. U několika upozornění je potlačení založené na čase. Jinými slovy, pokud se stejný chybový stav neodpozoruje do 72 hodin od generování upozornění, výstraha se automaticky vyřeší.

Microsoft Entra Připojení Health pro službu AD FS vygeneruje tuto výstrahu v případě, že agent stavu nainstalovaný na serveru služby AD FS nemůže získat token jako součást syntetické transakce iniciované agentem stavu. Agent health používá kontext místního systému a pokusí se získat token pro předávající stranu. Toto chování je test catch-all, který zajistí, že služba AD FS je ve stavu vydávání tokenů.

Nejčastěji tento test selže, protože agent stavu nemůže přeložit název farmy služby AD FS. K tomuto stavu může dojít, pokud jsou servery SLUŽBY AD FS za nástroji pro vyrovnávání zatížení sítě a požadavek se zahájí z uzlu, který je za nástrojem pro vyrovnávání zatížení (na rozdíl od běžného klienta, který je před nástrojem pro vyrovnávání zatížení). Tento problém je možné vyřešit tak, že aktualizujete soubor "hosts" umístěný v umístění C:\Windows\System32\drivers\etc, aby zahrnoval IP adresu serveru služby AD FS nebo IP adresu zpětné smyčky (127.0.0.1) pro název farmy služby AD FS (například sts.contoso.com). Přidáním hostitelského souboru dojde ke zkratování síťového volání, což agentu health umožní získat token.

Služba Microsoft Entra Připojení Health naskenovala všechny počítače, které monitoruje, aby se zajistilo, že byly nainstalovány požadované opravy. E-mail byl odeslán správcům tenanta, pokud alespoň jeden počítač neměl kritické opravy. K tomuto určení se použila následující logika.

1. Vyhledejte všechny opravy hotfix nainstalované na počítači.
2. Zkontrolujte, jestli existuje aspoň jedna z oprav hot fix z definovaného seznamu.
3. Pokud ano, počítač je chráněný. Pokud ne, je počítač ohrožen útokem.

K provedení této kontroly můžete použít následující skript PowerShellu. Implementuje výše uvedenou logiku.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError vrátí pouze chyby zřizování nástroje DirSync. Portál Připojení Health také zobrazuje další typy chyb synchronizace, jako jsou chyby exportu. Přečtěte si další informace o chybách Microsoft Entra Připojení Sync.

Pomocí rutiny PowerShellu Get-AdfsProperties -AuditLevel ověřte, že protokoly auditu nejsou ve stavu zakázaného. Přečtěte si další informace o protokolech auditu služby AD FS. Všimněte si, že se do serveru SLUŽBY AD FS odesílají upřesňující nastavení auditu, všechny změny s auditpol.exe se přepíšou (událost, pokud není nakonfigurovaná aplikace Generated). V takovém případě nastavte místní zásady zabezpečení tak, aby protokolovaly chyby generované aplikací a úspěch.

Certifikace agenta se automaticky obnoví 6 měsíců před datem vypršení platnosti. Pokud se neprodlouží, ujistěte se, že je síťové připojení agenta stabilní. Problém můžete vyřešit také restartováním služeb agenta nebo aktualizací na nejnovější verzi.

Související odkazy

• Microsoft Entra Připojení Health
• Instalace agenta Microsoft Entra Připojení Health
• Operace Microsoft Entra Připojení Health
• Použití služby Microsoft Entra Připojení Health se službou AD FS
• Použití služby Microsoft Entra Připojení Health pro synchronizaci
• Používání služby Microsoft Entra Připojení Health se službou AD DS
• Historie verzí služby Microsoft Entra Připojení Health