Pertanyaan umum tentang Microsoft Entra Koneksi Health

Untuk beralih di antara penyewa Microsoft Entra yang berbeda, pilih Nama Pengguna yang saat ini masuk di sudut kanan atas, lalu pilih akun yang sesuai. Jika akun tidak tercantum di sini, pilih Keluar. Selanjutnya, gunakan info masuk Administrator Global direktori yang mengaktifkan Microsoft Entra ID P1 atau P2 (P1 atau P2) untuk masuk.

Tabel berikut mencantumkan peran dan versi sistem operasi yang didukung.

Penginstalan Windows Server Core tidak didukung.

Fitur yang disediakan oleh layanan mungkin berbeda berdasarkan peran dan sistem operasi. Semua fitur mungkin tidak tersedia, untuk semua versi sistem operasi. Lihat deskripsi fitur untuk detailnya.

• Agen Kesehatan Koneksi pertama memerlukan setidaknya satu lisensi Microsoft Entra P1 atau P2.
• Setiap agen terdaftar tambahan memerlukan 25 lisensi Microsoft Entra P1 atau P2 lainnya.
• Jumlah agen setara dengan jumlah total agen yang terdaftar di semua peran yang dipantau (AD FS, Microsoft Entra Koneksi, dan/atau AD DS).
• Lisensi Microsoft Entra Koneksi Health tidak mengharuskan Anda menetapkan lisensi untuk pengguna tertentu. Anda hanya perlu memiliki jumlah lisensi yang valid yang diperlukan.

Informasi lisensi juga ditemukan di halaman harga Microsoft Entra.

Contoh:

Ya, semua agen akan otomatis diperbarui ketika ada agen versi bari.

Tidak, peningkatan otomatis bersifat wajib. Jika Anda tidak ingin agen ditingkatkan saat versi baru dirilis, Anda harus menghapus instalan agen.

Dampak menginstal Microsoft Entra Koneksi Health Agent, AD FS, server proksi aplikasi web, server Microsoft Entra Koneksi (sinkronisasi), pengontrol domain minimal sehubungan dengan CPU, konsumsi memori, bandwidth jaringan, dan penyimpanan.

Angka-angka berikut adalah perkiraan:

• Konsumsi CPU: ~ peningkatan 1-5%.
• Konsumsi memori: Hingga 10% dari total memori sistem.

• Penyimpanan buffer lokal untuk Microsoft Entra Koneksi Health Agents: ~20 MB.
• Untuk server Layanan Federasi Direktori Aktif, kami sarankan Anda menyediakan ruang disk sebesar 1.024 MB (1 GB) untuk saluran audit Layanan Federasi Direktori Aktif untuk Microsoft Entra Koneksi Health Agents untuk memproses semua data audit sebelum ditimpa.

Tidak. Penginstalan agen tidak akan mengharuskan Anda untuk me-reboot server. Namun, penginstalan beberapa langkah prasyarat mungkin memerlukan reboot server.

Misalnya, penginstalan .NET 4.6.2 Framework mungkin memerlukan boot ulang server.

Ya. Untuk operasi yang sedang berlangsung, Anda dapat mengonfigurasi Health Agent untuk menggunakan proksi HTTP untuk meneruskan permintaan HTTP keluar. Baca selengkapnya tentang mengonfigurasi Proksi HTTP untuk Health Agent.

Jika perlu mengonfigurasi proksi selama pendaftaran agen, Anda mungkin perlu mengubah pengaturan Internet Explorer Proxy terlebih dulu.

1. Buka Internet Explorer >Pengaturan>Opsi Internet>Koneksi>Pengaturan LAN.
2. Pilih Gunakan Proxy Server untuk LAN Anda.
3. Pilih Tingkat Lanjut jika Anda memiliki port proksi yang berbeda untuk HTTP dan HTTPS/Secure.

Tidak. Mekanisme untuk menentukan kata sandi dan nama pengguna arbitrer untuk Autentikasi dasar saat ini tidak didukung.

Lihat bagian persyaratan untuk daftar port firewall dan persyaratan konektivitas lainnya.

Saat Anda menghapus agen dari server, server tidak dihapus secara otomatis dari portal Microsoft Entra Koneksi Health. Jika Anda menghapus agen secara manual dari server atau menghapus server itu sendiri, Anda perlu menghapus entri server secara manual dari portal Microsoft Entra Koneksi Health. Untuk menghapus server yang dipantau dari Microsoft Entra Koneksi Health, Anda harus memiliki izin akun Administrator Global Microsoft Entra atau peran Kontributor dalam kontrol akses berbasis peran Azure.

Anda bisa mengganti server atau membuat server baru dengan detail yang sama (seperti nama komputer). Jika Anda tidak menghapus server yang sudah terdaftar dari portal Microsoft Entra Koneksi Health, dan Anda menginstal agen di server baru, Anda mungkin melihat dua entri dengan nama yang sama.

Dalam hal ini, hapus entri yang dimiliki secara manual milik server yang lebih lama. Data untuk server ini seharusnya sudah kedaluwarsa.

Tidak. Penginstalan pada Server Core tidak didukung.

Health agent dapat gagal didaftarkan karena alasan berikut:

• Agent tidak dapat berkomunikasi dengan titik akhir yang diperlukan karena firewall memblokir lalu lintas. Masalah ini sangat umum di server proksi aplikasi web. Pastikan Bahwa Anda telah mengizinkan komunikasi keluar ke titik akhir dan port yang diperlukan. Lihat bagian persyaratan untuk detailnya.
• Komunikasi keluar akan menjalani pemeriksaan TLS oleh lapisan jaringan. Ini menyebabkan sertifikat yang digunakan agen untuk digantikan oleh server/entitas inspeksi, dan langkah-langkah untuk menyelesaikan pendaftaran agen gagal.
• Pengguna tidak memiliki akses untuk melakukan pendaftaran agen. Admin global memiliki akses secara default. Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mendelegasikan akses ke pengguna lain.

Microsoft Entra Koneksi Health menghasilkan pemberitahuan saat tidak menerima semua poin data dari server dalam dua jam terakhir. Baca selengkapnya.

Tidak, audit tidak perlu diaktifkan pada server proksi aplikasi web.

Pemberitahuan Microsoft Entra Koneksi Health diselesaikan dengan kondisi keberhasilan. Microsoft Entra Koneksi Health Agents mendeteksi dan melaporkan kondisi keberhasilan ke layanan secara berkala. Untuk beberapa pemberitahuan, supresi berbasis waktu. Dengan kata lain, jika kondisi kesalahan yang sama tidak diamati dalam waktu 72 jam dari pembuatan peringatan, peringatan akan otomatis diselesaikan.

Microsoft Entra Koneksi Health untuk Layanan Federasi Direktori Aktif menghasilkan pemberitahuan ini ketika Agen Kesehatan yang diinstal pada server Layanan Federasi Direktori Aktif gagal mendapatkan token sebagai bagian dari transaksi sintetis yang dimulai oleh Agen Kesehatan. Health Agent menggunakan konteks sistem lokal dan berusaha untuk mendapatkan token untuk pihak yang mengandalkan diri sendiri. Perilaku ini adalah tes catch-all untuk memastikan bahwa AD FS dalam status menerbitkan token.

Umumnya, tes ini gagal karena Health Agent tidak dapat menyelesaikan nama farm AD FS. Status dapat terjadi jika server AD FS berada di belakang load balancer jaringan dan permintaan akan dimulai dari node yang berada di belakang load balancer (dibandingkan dengan klien reguler yang berada di depan load balancer). Masalah ini dapat diperbaiki dengan memperbarui file "host" yang terletak di "C:\Windows\System32\drivers\etc" untuk menyertakan alamat IP server AD FS atau alamat IP loopback (127.0.0.1) untuk nama farm AD FS (seperti sts.contoso.com). Menambahkan file host akan mengakibatkan short-circuit pada panggilan jaringan sehingga memungkinkan Health Agent untuk mendapatkan token.

Layanan Microsoft Entra Koneksi Health memindai semua komputer yang dipantaunya untuk memastikan patch yang diperlukan diinstal. Email dikirim ke administrator penyewa jika setidaknya satu komputer tidak memiliki patch penting. Logika berikut digunakan untuk membuat penetapan ini.

1. Temukan semua hotfix yang terpasang pada komputer.
2. Periksa apakah setidaknya salah satu HotFix dari daftar yang ditentukan ada.
3. Jika Ya, komputer terlindungi. Jika Tidak, komputer berisiko terkena serangan tersebut.

Anda dapat menggunakan skrip PowerShell berikut ini untuk melakukan pemeriksaan ini secara manual. Ini mengimplementasikan logika di atas.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError hanya akan mengembalikan kesalahan penyediaan DirSync. Selain itu, portal Connect Health juga menampilkan jenis kesalahan sinkronisasi lainnya seperti kesalahan ekspor. Baca selengkapnya tentang kesalahan Microsoft Entra Koneksi Sync.

Harap gunakan cmdlet PowerShell Get-AdfsProperties -AuditLevel untuk memastikan log audit tidak dalam status nonaktif. Baca selengkapnya tentang log audit AD FS. Perhatikan jika ada pengaturan audit lanjutan yang didorong ke server AD FS, setiap perubahan dengan auditpol.exe akan ditimpa (sekalipun Aplikasi Yang Dihasilkan tidak dikonfigurasikan). Dalam hal ini, atur kebijakan keamanan lokal untuk mencatat kegagalan dan keberhasilan Aplikasi yang Dihasilkan.

Sertifikasi agen akan otomatis diperpanjang 6 bulan sebelum tanggal kedaluwarsanya. Jika tidak diperpanjang, pastikan koneksi jaringan agen stabil. Mulai ulang layanan agen atau pembaruan ke versi terbaru juga dapat menyelesaikan masalah.

Tautan terkait

• Microsoft Entra Koneksi Health
• Penginstalan Microsoft Entra Koneksi Health Agent
• Operasi Microsoft Entra Koneksi Health
• Menggunakan Microsoft Entra Koneksi Health dengan Layanan Federasi Direktori Aktif
• Menggunakan Microsoft Entra Koneksi Health untuk sinkronisasi
• Menggunakan Microsoft Entra Koneksi Health dengan AD DS
• Riwayat versi Microsoft Entra Koneksi Health