Modifier

Partager via


Foire aux questions sur l’intégrité de Microsoft Entra Connect

Cet article comprend des réponses aux questions fréquemment posées (FAQ – Foire aux questions) sur Microsoft Entra Connect Health. Cette FAQ abordent l’utilisation du service, notamment le modèle de facturation, les fonctionnalités, les limitations et le support.

Questions générales

Je gère plusieurs annuaires Microsoft Entra. Comment faire basculer vers celui qui a Microsoft Entra ID P1 ou P2 ?

Pour basculer entre les différents clients Microsoft Entra, sélectionnez le nom d’utilisateur actuellement connecté dans l’angle supérieur droit, puis choisissez le compte approprié. Si le compte n’est pas listé, sélectionnez Déconnexion. Ensuite, connectez-vous avec les identifiants d’Administrateur général de l’annuaire pour lequel Microsoft Entra ID (P1 ou P2) est activé.

Quelles versions des rôles d’identité sont prises en charge par Microsoft Entra Connect Health ?

Le tableau suivant répertorie les rôles et les versions de système d’exploitation prises en charge.

Rôle Système d’exploitation / version
Active Directory Federation Services (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Version 1.0.9125 ou supérieure
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Les installations Windows Server Core ne sont pas prises en charge.

Les fonctionnalités proposées par le service peuvent varier selon le rôle et le système d’exploitation. Toutes les fonctionnalités peuvent ne pas être disponibles pour toutes les versions de système d’exploitation. Consultez les descriptions des fonctionnalités pour plus d’informations.

De combien de licences ai-je besoin pour surveiller mon infrastructure ?

  • Le premier agent Connect Health requiert au moins une licence Microsoft Entra P1 ou P2.
  • Chaque nouvel agent inscrit requiert 25 licences Microsoft Entra P1 ou P2 supplémentaires.
  • Le nombre d’agents est équivalent au nombre total d’agents inscrits auprès de tous les rôles surveillés (AD FS, Microsoft Entra Connect et/ou AD DS).
  • Avec les licences Microsoft Entra Connect Health, il n’est pas nécessaire d’attribuer chaque licence à des utilisateurs spécifiques. Vous devez simplement disposer du nombre de licences valides requis.

Les informations relatives aux licences se trouvent également sur la page de tarification Microsoft Entra.

Exemple :

Agents inscrits Licences nécessaires Exemple de configuration de surveillance
1 1 1 serveur Microsoft Entra Connect
2 26 1 serveur Microsoft Entra Connect et 1 contrôleur de domaine
3 51 1 serveur Active Directory Federation Services (AD FS), 1 proxy AD FS et 1 contrôleur de domaine
4 76 1 serveur AD FS, 1 proxy AD FS et 2 contrôleurs de domaine
5 101 1 serveur Microsoft Entra Connect, 1 serveur AD FS, 1 proxy AD FS et 2 contrôleurs de domaine

Questions sur l’installation

L’installation de l’agent est-elle mise à jour automatiquement quand il existe une nouvelle version de l’agent ?

Oui, tous les agents sont mis à jour automatiquement quand il existe une nouvelle version de l’agent.

Puis-je refuser ou désactiver la mise à niveau automatique de l’agent ?

Non, la mise à niveau automatique est obligatoire. Si vous ne souhaitez pas que l’agent soit mis à niveau quand une nouvelle version est publiée, vous devez désinstaller l’agent.

Quel est l’impact de l’installation de l’agent Microsoft Entra Connect Health sur des serveurs individuels ?

L’impact de l’installation de l’agent Microsoft Entra Connect Health, d’AD FS, de serveurs proxy d’application web, de serveurs Microsoft Entra Connect (synchronisation) et de contrôleurs de domaine est minime en ce qui concerne le processeur, la consommation de mémoire, la bande passante réseau et le stockage.

Les données suivantes sont fournies uniquement à titre approximatif :

  • Consommation du processeur : environ 1-5 % d’augmentation.
  • Consommation mémoire : jusqu’à 10 % de la mémoire totale du système.

Remarque

Si l’agent ne peut pas communiquer avec Azure, il stocke les données localement pour une limite maximale définie. L’agent remplace les données « mises en cache » sur la base « dernier événement traité ».

  • Stockage de mémoire tampon locale pour les agents Microsoft Entra Connect Health : environ 20 Mo.
  • Pour les serveurs AD FS, il est recommandé de mettre en service un espace disque de 1 024 Mo (1 Go) pour permettre au canal d’audit AD FS dédié aux agents Microsoft Entra Connect Health de traiter l’ensemble des données d’audit avant qu’elles ne soient remplacées.

Devrai-je redémarrer mes serveurs durant l’installation des agents Microsoft Entra Connect Health ?

Nombre Vous ne devrez pas redémarrer les serveurs durant l’installation des agents. Toutefois, l’exécution de certaines des étapes prérequises peut nécessiter un redémarrage du serveur.

Par exemple, l’installation de .NET 4.6.2 Framework peut nécessiter un redémarrage du serveur.

Le service Microsoft Entra Connect Health fonctionne-t-il via un proxy HTTP intermédiaire ?

Oui. Pour les opérations en cours, vous pouvez configurer l’agent Health pour transmettre les requêtes HTTP sortantes à l’aide d’un proxy HTTP. En savoir plus sur la configuration du proxy HTTP pour les agents Health.

Si vous devez configurer un proxy lors de l’inscription de l’agent, il vous faudra peut-être modifier au préalable vos paramètres de proxy Internet Explorer.

  1. Allez dans Internet Explorer >Paramètres>Options Internet>Connexions>Paramètres de réseau local.
  2. Sélectionnez Utiliser un serveur proxy pour votre réseau local.
  3. Sélectionnez Avancé si vous disposez de ports proxy différents pour les protocoles HTTP et HTTPS sécurisé.

Le service Microsoft Entra Connect Health prend-il en charge l’authentification de base lors des connexions à des proxys HTTP ?

Nombre Aucun mécanisme de définition de nom d’utilisateur/mot de passe arbitraire pour l’authentification de base n’est pris en charge.

Quels ports du pare-feu faut-il ouvrir pour que l'agent Microsoft Entra Connect Health fonctionne ?

Pour obtenir la liste des ports de pare-feu et les autres conditions à respecter en matière de connectivité, voir la section sur les conditions requises.

Pourquoi deux serveurs avec le même nom s’affichent-ils dans le portail Microsoft Entra Connect Health ?

Quand vous supprimez un agent à partir d’un serveur, ce serveur n’est pas automatiquement supprimé du portail Microsoft Entra Connect Health. Si vous supprimez manuellement un agent d’un serveur ou le serveur lui-même, vous devez supprimer manuellement l’entrée de serveur à partir du portail Microsoft Entra Connect Health. Pour supprimer des serveurs surveillés de Microsoft Entra Connect Health, vous devez disposer des autorisations du compte Microsoft Entra Global Administrator ou du rôle Contributeur dans le contrôle d'accès basé sur le rôle Azure.

Rien ne vous empêche ensuite de réinitialiser un serveur ou de créer un nouveau serveur avec les mêmes caractéristiques (par exemple, le nom de l’ordinateur). Si vous n’avez pas supprimé le serveur déjà inscrit à partir du portail Microsoft Entra Connect Health et si vous avez installé l’agent sur le nouveau serveur, deux entrées portant le même nom peuvent apparaître.

Dans ce cas, supprimez manuellement l’entrée qui appartient à l’ancien serveur. Les données associées à ce serveur sont normalement obsolètes.

Puis-je installer l’agent Microsoft Entra Connect Health sur Windows Server Core ?

Nombre L’installation sur Server Core n’est pas prise en charge.

Après avoir installé Microsoft Entra Connect Sync, avec un compte qui a le rôle Administrateur hybride, pourquoi l’agent Connect Health for Sync est-il désactivé dans les services ?

Vous devez être administrateur général pour installer l’agent Connect Health pour la synchronisation. Pour activer l’agent, vous devez réinstaller l’agent à l’aide d’un compte administrateur général.

Inscription de l’agent Health et actualisation des données

Quelles sont les raisons courantes expliquant les échecs d’inscription de l’agent Health et comment résoudre les problèmes constatés ?

L’inscription de l’agent Health peut échouer pour les raisons suivantes :

  • L’agent ne peut pas communiquer avec les points de terminaison requis, car un pare-feu bloque le trafic. Ce problème est courant sur les serveurs proxy d’application web. Assurez-vous que vous avez autorisé les communications sortantes vers les ports et les points de terminaison requis. Pour plus d’informations, consultez la section sur la configuration requise.
  • Les communications sortantes sont soumises à une inspection TLS par la couche réseau. Cela entraîne le remplacement du certificat que l’agent utilise par l’entité/le serveur d’inspection, et il est alors impossible d’effectuer les étapes requises pour terminer l’inscription de l’agent.
  • L’utilisateur ne peut pas procéder à l’inscription de l’agent. Les administrateurs généraux peuvent le faire par défaut. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC Azure) pour déléguer l’accès à d’autres utilisateurs.

Je reçois le message d’alerte suivant : « Les données du service de contrôle d’intégrité ne sont pas à jour. » Comment puis-je résoudre ce problème ?

Le service Microsoft Entra Connect Health génère cette alerte quand il ne reçoit pas tous les points de données du serveur au cours des deux dernières heures. En savoir plus.

Questions sur les opérations

Dois-je activer l’audit sur les serveurs proxy d’application web ?

Non. Il n’est pas nécessaire d’activer l’audit sur les serveurs proxy d’application web.

Comment les alertes de santé de Microsoft Entra Connect sont-elles résolues ?

Les alertes Microsoft Entra Connect Health sont résolues en cas de condition de réussite. Les agents Microsoft Entra Connect Health détectent et signalent régulièrement au service les conditions de réussite. Pour certaines alertes, la suppression s’effectue en fonction d’un intervalle de temps. Concrètement, cela signifie que si la condition d’erreur n’est pas observée dans les 72 heures suivant la génération de l’alerte, cette dernière est automatiquement résolue.

J’ai été alerté du fait que « La demande d’authentification de test (transaction synthétique) n’est pas parvenue à obtenir un jeton  » Comment puis-je résoudre ce problème ?

Microsoft Entra Connect Health pour AD FS génère cette alerte lorsque l’agent d’intégrité installé sur un serveur AD FS n’a pas pu obtenir de jeton dans le cadre d’une transaction synthétique démarrée par l’agent d’intégrité. L’agent d’intégrité utilise le contexte du système local et tente d’obtenir un jeton pour une partie de confiance interne. Ce comportement consiste à effectuer un test polyvalent permettant de vérifier que les services AD FS sont en mesure d’émettre des jetons.

Le plus souvent, ce test échoue lorsque l’agent d’intégrité ne parvient pas à résoudre le nom de la batterie de serveurs AD FS. Cet état peut se produire si les serveurs AD FS se trouvent derrière un équilibreur de charge réseau et si la requête est lancée depuis un nœud qui se trouve également derrière l’équilibreur de charge (par opposition à un client normal qui est placé devant l’équilibreur). Pour corriger ce problème, mettez à jour le fichier « hosts » situé sous C:\Windows\System32\drivers\etc en incluant l’adresse IP du serveur AD FS ou une adresse IP de bouclage (127.0.0.1) pour le nom de la batterie de serveurs AD FS (par exemple, sts.contoso.com). L’ajout du fichier hôte a pour effet de court-circuiter l’appel réseau, ce qui permet à l’agent d’intégrité d’obtenir le jeton.

J’ai reçu un e-mail m’informant que mes machines ne disposaient PAS du correctif destiné à les protéger des dernières attaques de type rançongiciel. Pourquoi ai-je reçu cet e-mail ?

Le service Microsoft Entra Connect Health a analysé toutes les machines qu’il surveille pour vérifier que les correctifs nécessaires y ont été installés. L’e-mail est envoyé à l’administrateur des clients si au moins l’une des machines qu’il gère ne dispose pas des correctifs nécessaires. La logique suivante a été utilisée pour déterminer si les correctifs ont été installés sur les machines :

  1. Rechercher tous les correctifs logiciels installés sur la machine.
  2. Vérifier si au moins un des correctifs logiciels de la liste définie est présent.
  3. Si c’est le cas, la machine est protégée. Si ce n’est pas le cas, la machine est exposée aux attaques.

Vous pouvez utiliser le script PowerShell suivant pour effectuer cette vérification manuellement. Le script implémente la logique ci-dessus.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Pourquoi la cmdlet PowerShell Get-MsolDirSyncProvisioningError affiche-t-elle moins d’erreurs de synchronisation dans le résultat ?

Get-MsolDirSyncProvisioningError renvoie uniquement les erreurs d’approvisionnement DirSync. Le portail Connect Health affiche également d’autres types d’erreurs de synchronisation telles que des erreurs d’exportation. En savoir plus sur les erreurs de Microsoft Entra Connect Sync.

Pourquoi mes audits AD FS ne sont-ils pas générés ?

Utilisez la cmdlet PowerShell Get-AdfsProperties -AuditLevel pour vérifier que les journaux d’audit ne sont pas désactivés. Découvrez-en plus sur les journaux d’audit AD FS. Notez que si des paramètres d’audit sont transmis au serveur AD FS, les modifications apportés à auditpol.exe sont écrasées (même si l’application générée n’est pas configurée). Dans ce cas, définissez la stratégie de sécurité locale pour enregistrer les succès et échecs de l’application générée.

Quand le certificat d’agent est-il renouvelé automatiquement avant expiration ?

La certification d’agent est renouvelée automatiquement six mois avant sa date d’expiration. Si elle n’est pas renouvelée, vérifiez que la connexion réseau de l’agent est stable. Le redémarrage des services de l’agent ou une mise à jour vers la version la plus récente peut également résoudre le problème.