Forum aux questions sur l’intégrité de Microsoft Entra Connect

Pour basculer entre les différents locataires Microsoft Entra, sélectionnez le nom d’utilisateur actuellement connecté dans l’angle supérieur droit, puis choisissez le compte approprié. Si le compte n’est pas listé, sélectionnez Déconnexion. Ensuite, connectez-vous avec les informations d’identification d’Administrateur général de l’annuaire pour lequel Microsoft Entra ID (P1 ou P2) est activé.

Le tableau suivant répertorie les rôles et les versions de système d’exploitation prises en charge.

Les installations Windows Server Core ne sont pas prises en charge.

Les fonctionnalités proposées par le service peuvent varier selon le rôle et le système d’exploitation. Toutes les fonctionnalités peuvent ne pas être disponibles pour toutes les versions de système d’exploitation. Consultez les descriptions des fonctionnalités pour plus d’informations.

• Le premier agent Connect Health requiert au moins une licence Microsoft Entra P1 ou P2.
• Chaque nouvel agent inscrit requiert 25 licences Microsoft Entra P1 ou P2 supplémentaires.
• Le nombre d’agents est équivalent au nombre total d’agents inscrits auprès de tous les rôles surveillés (AD FS, Microsoft Entra Connect ou AD DS).
• Avec les licences Microsoft Entra Connect Health, il n’est pas nécessaire d’attribuer chaque licence à des utilisateurs spécifiques. Vous devez simplement disposer du nombre de licences valides requis.

Les informations relatives aux licences se trouvent également sur la page de tarification Microsoft Entra.

Exemple :

Oui, tous les agents sont mis à jour automatiquement quand il existe une nouvelle version de l’agent.

Non, la mise à niveau automatique est obligatoire. Si vous ne souhaitez pas que l’agent soit mis à niveau quand une nouvelle version est publiée, vous devez désinstaller l’agent.

L’impact de l’installation de l’agent d’intégrité Microsoft Entra Connect, d’AD FS, de serveurs proxy d’application web, de serveurs Microsoft Entra Connect (synchronisation) et de contrôleurs de domaine est minime en ce qui concerne le processeur, la consommation de mémoire, la bande passante réseau et le stockage.

Les données suivantes sont fournies uniquement à titre approximatif :

• Consommation du processeur : environ 1-5 % d’augmentation.
• Consommation mémoire : Jusqu’à 10 % de la mémoire totale du système.

• Stockage de mémoire tampon locale pour les agents Microsoft Entra Connect Health : environ 20 Mo.
• Pour les serveurs AD FS, il est recommandé de mettre en service un espace disque de 1 024 Mo (1 Go) pour permettre au canal d’audit AD FS dédié aux agents Microsoft Entra Connect Health de traiter l’ensemble des données d’audit avant qu’elles ne soient remplacées.

Nombre Vous ne devrez pas redémarrer les serveurs durant l’installation des agents. Toutefois, l’exécution de certaines des étapes pré-requises peut nécessiter un redémarrage du serveur.

Par exemple, l’installation de .NET 4.6.2 Framework peut nécessiter un redémarrage du serveur.

Oui. Pour les opérations en cours, vous pouvez configurer l’agent Health pour transmettre les requêtes HTTP sortantes à l’aide d’un proxy HTTP. Pour plus d’informations sur la configuration du proxy HTTP pour les agents Health, voir .

Si vous devez configurer un proxy lors de l’inscription de l’agent, il vous faudra peut-être modifier au préalable vos paramètres de proxy Internet Explorer.

1. Allez dans Internet Explorer >Paramètres>Options Internet>Connexions>Paramètres de réseau local.
2. Sélectionnez Utiliser un serveur proxy pour votre réseau local.
3. Sélectionnez Avancé si vous disposez de ports proxy différents pour les protocoles HTTP et HTTPS sécurisé.

Nombre Aucun mécanisme de définition de nom d’utilisateur/mot de passe arbitraire pour l’authentification De base n’est pris en charge.

Pour obtenir la liste des ports de pare-feu et les autres conditions à respecter en matière de connectivité, voir la section sur les conditions requises.

Quand vous supprimez un agent à partir d’un serveur, ce serveur n’est pas automatiquement supprimé du portail Microsoft Entra Connect Health. Si vous supprimez manuellement un agent d’un serveur ou le serveur lui-même, vous devez supprimer manuellement l’entrée de serveur à partir du portail Microsoft Entra Connect Health. Pour supprimer des serveurs surveillés de Microsoft Entra Connect Health, vous devez disposer des autorisations du compte Microsoft Entra Global Administrator ou du rôle Contributeur dans le contrôle d'accès basé sur le rôle Azure.

Rien ne vous empêche ensuite de réinitialiser un serveur ou de créer un nouveau serveur avec les mêmes caractéristiques (par exemple, le nom de l’ordinateur). Si vous n’avez pas supprimé le serveur déjà inscrit à partir du portail Microsoft Entra Connect Health et si vous avez installé l’agent sur le nouveau serveur, deux entrées portant le même nom peuvent apparaître.

Dans ce cas, supprimez manuellement celle qui appartient à l’ancien serveur. Les données associées à ce serveur sont normalement obsolètes.

Nombre L’installation sur Server Core n’est pas prise en charge.

L’inscription de l’agent Health peut échouer pour les raisons suivantes :

• L’agent ne peut pas communiquer avec les points de terminaison requis, car un pare-feu bloque le trafic. Ce problème est courant sur les serveurs proxy d’application web. Assurez-vous que vous avez autorisé les communications sortantes vers les ports et les points de terminaison requis. Pour plus d’informations, voir la section sur les composants requis.
• Les communications sortantes sont soumises à une inspection TLS par la couche réseau. Cela entraîne le remplacement du certificat que l’agent utilise par l’entité/le serveur d’inspection, et il est alors impossible d’effectuer les étapes requises pour terminer l’inscription de l’agent.
• L’utilisateur n’a pas les droits d’accès nécessaires pour procéder à l’inscription de l’agent. Par défaut, les administrateurs globaux possèdent les droits d’accès. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC Azure) pour déléguer l’accès à d’autres utilisateurs.

Le service Microsoft Entra Connect Health génère cette alerte quand il ne reçoit pas tous les points de données du serveur au cours des deux dernières heures. En savoir plus.

Non. Il n’est pas nécessaire d’activer l’audit sur les serveurs proxy d’application web.

Les alertes Microsoft Entra Connect Health sont résolues en cas de condition de réussite. Les agents Microsoft Entra Connect Health détectent et signalent régulièrement au service les conditions de réussite. Pour certaines alertes, la suppression s’effectue en fonction d’un intervalle de temps. Concrètement, cela signifie que si la condition d’erreur n’est pas observée dans les 72 heures suivant la génération de l’alerte, cette dernière est automatiquement résolue.

Microsoft Entra Connect Health pour AD FS génère cette alerte lorsque l’agent d’intégrité installé sur un serveur AD FS n’a pas pu obtenir de jeton dans le cadre d’une transaction synthétique démarrée par l’agent d’intégrité. L’agent d’intégrité utilise le contexte du système local et tente d’obtenir un jeton pour une partie de confiance interne. Ce comportement consiste à effectuer un test polyvalent permettant de vérifier que les services AD FS sont en mesure d’émettre des jetons.

Le plus souvent, ce test échoue lorsque l’agent d’intégrité ne parvient pas à résoudre le nom de la batterie de serveurs AD FS. Cet état peut se produire si les serveurs AD FS se trouvent derrière un équilibreur de charge réseau et si la requête est lancée depuis un nœud qui se trouve également derrière l’équilibreur de charge (par opposition à un client normal qui est placé devant l’équilibreur). Pour corriger ce problème, mettez à jour le fichier « hosts » situé sous « C:\Windows\System32\drivers\etc » en incluant l’adresse IP du serveur AD FS ou une adresse IP de bouclage (127.0.0.1) pour le nom de la batterie de serveurs AD FS (par exemple, sts.contoso.com). L’ajout du fichier hôte a pour effet de court-circuiter l’appel réseau, ce qui permet à l’agent d’intégrité d’obtenir le jeton.

Le service Microsoft Entra Connect Health a analysé toutes les machines qu’il surveille pour vérifier que les correctifs nécessaires y ont été installés. L’e-mail est envoyé à l’administrateur des locataires si au moins l’une des machines qu’il gère ne dispose pas des correctifs nécessaires. La logique suivante a été utilisée pour déterminer si les correctifs ont été installés sur les machines :

1. Rechercher tous les correctifs logiciels installés sur la machine
2. Vérifier si au moins un des correctifs logiciels de la liste définie est présent
3. Si c’est le cas, la machine est protégée. Si ce n’est pas le cas, la machine est exposée aux attaques.

Vous pouvez utiliser le script PowerShell suivant pour effectuer cette vérification manuellement. Le script implémente la logique ci-dessus.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError renvoie uniquement les erreurs d’approvisionnement DirSync. Le portail Connect Health affiche également d’autres types d’erreurs de synchronisation telles que des erreurs d’exportation. En savoir plus sur les erreurs de Microsoft Entra Connect Sync.

Utilisez l’applet de commande PowerShell Get-AdfsProperties - AuditLevel pour vérifier que les journaux d’audit ne sont pas désactivés. Découvrez-en plus sur les journaux d’audit AD FS. Notez que si des paramètres d’audit avancés sont transmis au serveur AD FS, les modifications apportés à auditpol.exe sont écrasées (même si l’application générée n’est pas configurée). Dans ce cas, définissez la stratégie de sécurité locale pour enregistrer les succès et échecs de l’application générée.

La certification d’agent est renouvelée automatiquement 6 mois avant sa date d’expiration. Si elle n’est pas renouvelée, vérifiez que la connexion réseau de l’agent est stable. Le redémarrage des services de l’agent ou une mise à jour vers la version la plus récente peut également résoudre le problème.

Liens connexes

• Santé de Microsoft Entra Connect
• Installation de Microsoft Entra Connect Health Agent
• Opérations Microsoft Entra Connect Health
• Utilisation de Microsoft Entra Connect Health avec AD FS
• Utilisation de Microsoft Entra Connect Health pour la synchronisation
• Utilisation de Microsoft Entra Connect Health avec AD DS
• Historique des versions de Microsoft Entra Connect Health