Editar

Compartir vía


Preguntas más frecuentes sobre Microsoft Entra Connect Health

En este artículo, se incluyen respuestas a las preguntas más frecuentes (P+F) sobre Microsoft Entra Connect Health. Estas preguntas más frecuentes abarcan cuestiones sobre cómo usar el servicio; por ejemplo, el modelo de facturación, las funcionalidades, las limitaciones y el soporte técnico.

Preguntas generales

Administro varios directorios de Microsoft Entra. ¿Cómo cambiar al que tiene Microsoft Entra ID P1 o P2?

Para cambiar entre distintos inquilinos de Microsoft Entra, seleccione el nombre de usuario que actualmente ha iniciado sesión en la esquina superior derecha y luego elija la cuenta adecuada. Si la cuenta no aparece aquí, seleccione Cerrar sesión y use las credenciales de administrador global del directorio que tiene Microsoft Entra ID P1 o P2 (P1 o P2) habilitado para iniciar sesión.

¿Qué versión de los roles de identidad es compatible con Microsoft Entra Connect Health?

En la tabla siguiente se enumeran los roles y las versiones de sistema operativo compatibles.

Rol Sistema operativo/versión
Servicios de federación de Active Directory (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Versión 1.0.9125 o posterior
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

No se admiten instalaciones de Windows Server Core.

Las características proporcionadas por el servicio pueden diferir según el rol y el sistema operativo. Puede que no todas las características estén disponibles para todas las versiones del sistema operativo. Vea las descripciones de las características para obtener más información.

¿Cuántas licencias necesito para supervisar mi infraestructura?

  • El primer agente de Connect Health requiere al menos una licencia de Microsoft Entra P1 o P2.
  • Cada agente adicional registrado requiere 25 licencias más de Microsoft Entra P1 o P2.
  • El número de agentes es equivalente al número total de agentes registrados en todos los roles supervisados (AD FS, Microsoft Entra Connect o AD DS).
  • Las licencias de Microsoft Entra Connect Health no requieren la asignación a usuarios específicos. Solo debe tener el número necesario de licencias válidas.

La información de licencia se encuentra también en la página de precios de Microsoft Entra.

Ejemplo:

Agentes registrados Licencias necesarias Ejemplo de configuración de supervisión
1 1 1 servidor de Microsoft Entra Connect
2 26 1 servidor de Microsoft Entra y 1 controlador de dominio
3 51 1 servidor de Servicios de federación de Active Directory (AD FS), 1 proxy de AD FS y 1 controlador de dominio
4 76 1 servidor de AD FS, 1 proxy de AD FS y 2 controladores de dominio
5 101 1 servidor de Microsoft Entra Connect, 1 servidor de AD FS, 1 proxy de AD FS y 2 controladores de dominio

Preguntas sobre instalación

¿La instalación del agente se actualiza automáticamente cuando hay una nueva versión del agente?

Sí, todos los agentes se actualizarán automáticamente cuando haya una nueva versión del agente.

¿Puedo rechazar el cambio de versión automático del agente o deshabilitarlo?

No, el cambio de versión automático es obligatorio. Si no desea que el agente cambie a una nueva versión cuando se publique, debe desinstalar el agente.

¿Qué impacto tiene la instalación del agente de Azure AD Connect Health en los servidores individuales?

El impacto de instalar el Agente de Microsoft Entra Connect Health, AD FS, los servidores proxy de aplicación web, los servidores de Microsoft Entra Connect (Sync) y los controladores de dominio es mínimo con respecto al consumo de CPU, memoria, ancho de banda de red y almacenamiento.

Las cifras siguientes son una estimación:

  • Consumo de CPU: aumento de ~1-5 %.
  • Consumo de memoria: hasta 10 % de la memoria total del sistema.

Nota

Si el agente no puede comunicarse con Azure, almacena los datos localmente hasta un límite máximo definido. El agente sobrescribe los datos "en caché" en función de "los servidos menos recientemente".

  • Almacenamiento de búfer local para Microsoft Entra Connect Health Agents: ~20 MB.
  • Para servidores de AD FS, se recomienda que aprovisione un espacio en disco de 1,024 MB (1 GB) de forma que el canal de auditoría de AD FS para Agentes de Microsoft Entra Connect Health procese todos los datos de auditoría antes de que se sobrescriban.

¿Tendré que reiniciar los servidores durante la instalación de los agentes de Microsoft Entra Connect Health?

No. La instalación de los agentes no requiere que reinicie el servidor. Sin embargo, la instalación de algunos de los requisitos previos podría requerir el reinicio del servidor.

Por ejemplo, la instalación de .NET Framework 4.6.2 puede requerir un reinicio del servidor.

¿Funciona Microsoft Entra Connect Health mediante un proxy HTTP de paso?

Sí. Para las operaciones en curso, puede configurar el agente de mantenimiento para usar un proxy HTTP para reenviar solicitudes HTTP salientes. Lea más sobre cómo configurar el proxy HTTP para los agentes de mantenimiento.

Si necesita configurar a un proxy durante el registro del agente, puede que deba modificar de antemano su configuración del proxy de Internet Explorer.

  1. Abra Internet Explorer >Configuración>Opciones de Internet>Conexiones>Configuración de LAN.
  2. Seleccione Usar un servidor proxy para la LAN.
  3. Seleccione Opciones avanzadas si tiene distintos puertos de proxy para HTTP y HTTPS/Secure.

¿Admite Microsoft Entra Connect Health autenticación básica cuando se conecta a servidores proxy HTTP?

No. Actualmente no es posible especificar un nombre de usuario y una contraseña arbitrarios para la autenticación básica.

¿Qué puertos de firewall debo abrir para que funcione el agente de Microsoft Entra Connect Health?

Consulte la sección de requisitos para obtener la lista de puertos de firewall y otros requisitos de conectividad.

¿Por qué veo dos servidores con el mismo nombre en el Portal de Microsoft Entra Connect Health?

Al quitar un agente de un servidor, el servidor no se elimina automáticamente del portal de Microsoft Entra Connect Health. Si quita de forma manual un agente de un servidor o quita el propio servidor, necesita eliminar manualmente la entrada del servidor del portal de Microsoft Entra Connect Health. Para eliminar servidores supervisados de Microsoft Entra Connect Health, debe tener permisos de cuenta de administrador global de Microsoft Entra o el rol Colaborador en el control de acceso basado en roles de Azure.

Puede restablecer la imagen inicial de un servidor o crear un nuevo servidor con los mismos detalles (por ejemplo, el nombre de la máquina). Si no ha quitado el servidor ya registrado del portal de Microsoft Entra Connect Health y había instalado al agente en el nuevo servidor, podría ver dos entradas con el mismo nombre.

En este caso, elimine manualmente la entrada que pertenece al servidor anterior. Los datos para este servidor deben estar obsoletos.

¿Puedo instalar el agente de Microsoft Entra Connect Health en Windows Server Core?

No. La instalación en Server Core no es compatible.

Después de instalar Microsoft Entra Connect Sync, con una cuenta que tenga el rol de administrador híbrido, ¿por qué está deshabilitado Connect Health for Sync Agent en los servicios?

Para instalar Connect Health para el Agente de sincronización, debe ser administrador global. Para activar el agente, debe reinstalar el agente mediante una cuenta de administrador global.

Registro del agente de mantenimiento y actualización de datos

¿Cuáles son las causas comunes de los errores de registro del agente de mantenimiento y cómo puedo solucionarlos?

El agente de mantenimiento puede presentar errores de registro debido a las siguientes razones posibles:

  • El agente no puede comunicarse con los puntos de conexión necesarios porque un firewall está bloqueando el tráfico. Este es un problema habitual en servidores proxy de aplicación web. Asegúrese de que haya permitido la comunicación de salida a los puertos y puntos de conexión necesarios. Consulte la sección de requisitos para más información.
  • La comunicación de salida está sujeta a una inspección de TLS en el nivel de red. Como consecuencia, el certificado que usa el agente se sustituya por la entidad/servidor de inspección y los pasos para completar el registro del agente producen error.
  • El usuario no puede llevar a cabo el registro del agente. Los administradores globales pueden de forma predeterminada. Puede usar el control de acceso basado en rol de Azure (RBAC de Azure) para delegar el acceso a otros usuarios.

Recibo una alerta que indica que "los datos del servicio de mantenimiento no están actualizados". ¿Cómo puedo solucionar el problema?

Microsoft Entra Connect Health genera la alerta si no recibe todos los puntos de datos del servidor en las últimas dos horas. Más información.

Preguntas sobre operaciones

¿Necesita habilitar la auditoría en los servidores proxy de aplicación web?

No, la auditoría no debe habilitarse en los servidores proxy de aplicación web.

¿Cómo resolver las alertas de Microsoft Entra Connect Health?

Las alertas de Microsoft Entra Connect Health se resuelven en una condición satisfactoria. Los Agentes de Microsoft Entra Connect Health detectan e informan de las condiciones de éxito al servicio de manera periódica. En el caso de algunas alertas, la supresión depende del tiempo. En otras palabras, si la misma condición de error no se observa dentro de un plazo de 72 horas desde la generación de la alerta, esta se resuelve de forma automática.

Recibo un aviso de que "La solicitud de autenticación de prueba (transacción sintética) no pudo obtener un token". ¿Cómo puedo solucionar el problema?

Microsoft Entra Connect Health para AD FS genera esta alerta cuando se produce un error en el servidor ADFS para obtener un token como parte de una transacción sintética iniciada por el agente de mantenimiento. El agente de mantenimiento utiliza el contexto de sistema local e intenta obtener un token para un usuario de confianza de autoservicio. Este comportamiento es una prueba para comprobar que AD FS se encuentre en estado de emisión de tokens.

A menudo, se produce un error en esta prueba porque el agente de mantenimiento no puede resolver el nombre de la granja de servidores de AD FS. Este estado puede producirse cuando los servidores de AD FS se encuentran detrás de equilibradores de carga de red y la solicitud consigue iniciarse desde un nodo que esté detrás del equilibrador de carga (en lugar de un cliente normal que aparece delante del equilibrador de carga). Este problema se puede corregir actualizando el archivo "hosts" ubicado en C:\Windows\System32\drivers\etc para incluir la dirección IP del servidor de AD FS o una dirección IP loopback (127.0.0.1) para el nombre de la granja de AD FS (por ejemplo, sts.contoso.com). Al agregar el archivo de host, se interrumpe la llamada de red, lo que permite que el agente de mantenimiento obtenga el token.

He recibido un correo electrónico que indica que mis máquinas no se han revisado para contrarrestar los ataques de secuestro de datos recientes. ¿Por qué he recibido este correo electrónico?

El servicio Microsoft Entra Connect Health analiza todas las máquinas que supervisa para garantizar que se instalaron las revisiones necesarias. El correo electrónico se envía a los administradores de inquilinos si al menos una máquina no tiene las revisiones críticas. Se usó la siguiente lógica para tomar esta decisión.

  1. Busque todas las revisiones instaladas en la máquina.
  2. Compruebe si está presente al menos una de las revisiones de la lista definida.
  3. Si es así, la máquina virtual está protegida. En caso contrario, la máquina está en riesgo de sufrir un ataque.

Puede usar el siguiente script de PowerShell para realizar esta comprobación manualmente. Implementa la lógica anterior.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

¿Por qué muestra el cmdlet de PowerShell "Get-MsolDirSyncProvisioningError" menos errores de sincronización en el resultado?

Get-MsolDirSyncProvisioningError solo devolverá errores de aprovisionamiento de DirSync. El portal de Connect Health también muestra otros tipos de error de sincronización, como los errores de exportación. Lea más información sobre los errores de la Sincronización de Microsoft Entra Connect.

¿Por qué mis auditorías de AD FS no se generan?

Utilice el cmdlet de PowerShell Get-AdfsProperties - AuditLevel para asegurarse de que los registros de auditoría no se encuentren deshabilitados. Obtenga más información sobre los registros de auditoría de AD FS. Tenga en cuenta que si se envía una configuración de auditoría al servidor de AD FS, se sobrescribirán los cambios realizados con auditpol.exe (aunque no se haya configurado Application Generated). En este caso, establezca la directiva de seguridad local para que registre los eventos correctos e incorrectos de Application Generated.

¿Cuándo se renovará automáticamente el certificado de agente antes de la expiración?

La certificación de agente se renovará automáticamente seis meses antes de la fecha de expiración. Si no se renueva, asegúrese de que la conexión de red del agente es estable. Reiniciar los servicios del agente o actualizar a la versión más reciente también pueden resolver el problema.