Questo articolo include le risposte alle domande frequenti su Microsoft Entra Connessione Health. Le domande sono relative all'uso del servizio, inclusi il modello di fatturazione, le funzionalità, le limitazioni e il supporto.
Domande generali
Gestisco più directory di Microsoft Entra. Ricerca per categorie passare a quello con ID Entra Microsoft P1 o P2?
Per passare da diversi tenant di Microsoft Entra, selezionare il nome utente attualmente connesso nell'angolo superiore destro e quindi scegliere l'account appropriato. Se l'account non è elencato qui, selezionare Disconnetti. Usare quindi le credenziali di Global Amministrazione istrator della directory con ID Microsoft Entra P1 o P2 (P1 o P2) abilitate per accedere.
Quale versione dei ruoli di identità è supportata da Microsoft Entra Connessione Health?
La tabella seguente elenca i ruoli e le versioni del sistema operativo supportate.
| Ruolo | Sistema operativo/Versione |
|---|---|
| Active Directory Federation Services (AD FS) |
|
| Microsoft Entra Connect | Versione 1.0.9125 o successiva |
| Active Directory Domain Services (AD DS) |
|
Le installazioni di Windows Server Core non sono supportate.
Le funzionalità fornite dal servizio possono variare in base al ruolo e al sistema operativo. Tutte le funzionalità potrebbero non essere disponibili per tutte le versioni del sistema operativo. Vedere le descrizioni delle funzionalità per i dettagli.
Quante licenze è necessario avere per monitorare l'infrastruttura?
- Il primo agente di integrità Connessione richiede almeno una licenza Microsoft Entra P1 o P2.
- Ogni agente registrato aggiuntivo richiede altre 25 licenze Microsoft Entra P1 o P2.
- Il conteggio degli agenti equivale al numero totale di agenti registrati in tutti i ruoli monitorati (AD FS, Microsoft Entra Connessione e/o Servizi di dominio Active Directory).
- La licenza di Microsoft Entra Connessione Health non richiede l'assegnazione della licenza a utenti specifici. È necessario soltanto disporre del numero di licenze valide.
Le informazioni sulle licenze sono disponibili anche nella pagina dei prezzi di Microsoft Entra.
Esempio:
| Agenti registrati | Licenze necessarie | Esempio di configurazione di monitoraggio |
|---|---|---|
| 1 | 1 | 1 Server microsoft Entra Connessione |
| 2 | 26 | 1 Microsoft Entra Connessione server e 1 controller di dominio |
| 3 | 51 | 1 server di Active Directory Federation Services (AD FS), 1 proxy di AD FS e 1 controller di dominio |
| 4 | 76 | 1 server di AD FS, 1 proxy di AD FS e 2 controller di dominio |
| 5 | 101 | 1 Microsoft Entra Connessione server, 1 server AD FS, 1 proxy AD FS e 2 controller di dominio |
Domande sull'installazione
L'installazione dell'agente viene aggiornata automaticamente quando è presente una nuova versione dell'agente?
Sì, tutti gli agenti verranno aggiornati automaticamente quando è presente una nuova versione dell'agente.
È possibile rifiutare esplicitamente o disabilitare l'aggiornamento automatico dell'agente?
No, l'aggiornamento automatico è obbligatorio. Se non si vuole che l'agente venga aggiornato quando viene rilasciata una nuova versione, è necessario disinstallare l'agente.
Qual è l'impatto dell'installazione di Microsoft Entra Connessione Health Agent nei singoli server?
L'impatto dell'installazione di Microsoft Entra Connessione Health Agent, AD FS, server proxy applicazione Web, server microsoft Entra Connessione (sincronizzazione), controller di dominio è minimo rispetto alla CPU, al consumo di memoria, alla larghezza di banda di rete e all'archiviazione.
I numeri seguenti sono approssimativi:
- Utilizzo della CPU: ~1-5% di incremento.
- Utilizzo della memoria: fino a al 10% della memoria di sistema totale.
Nota
Se l'agente non può comunicare con Azure, archivia i dati localmente per un limite massimo definito. L'agente sovrascrive i dati "memorizzati nella cache" secondo un criterio di tipo "intervento di manutenzione meno recente".
- Archiviazione buffer locale per Microsoft Entra Connessione Health Agents: ~20 MB.
- Per i server AD FS, è consigliabile effettuare il provisioning di uno spazio su disco di 1.024 MB (1 GB) per il canale di controllo AD FS per Microsoft Entra Connessione Health Agents per elaborare tutti i dati di controllo prima che vengano sovrascritti.
Sarà necessario riavviare i server durante l'installazione di Microsoft Entra Connessione Health Agents?
No. Per l'installazione degli agenti non è necessario il riavvio del server. L'installazione di alcuni passaggi preliminare può richiedere tuttavia un riavvio del server.
Ad esempio, l'installazione di .NET 4.6.2 Framework potrebbe richiedere un riavvio del server.
Microsoft Entra Connessione Health funziona tramite un proxy HTTP pass-through?
Sì. Per le operazioni in corso, è possibile configurare l'agente per l'integrità in modo che usi un proxy HTTP per inoltrare le richieste HTTP in uscita. Per altre informazioni, vedere la configurazione del proxy HTTP per gli agenti per l'integrità.
Se è necessario configurare un proxy durante la registrazione dell'agente, modificare prima di tutto le impostazioni del proxy di Internet Explorer.
- Aprire Le opzioni> di Internet Explorer> Impostazioni> Internet Connessione ions>LAN Impostazioni.
- Selezionare Usa un server di proxy per la rete LAN.
- Selezionare Avanzate se sono presenti porte proxy diverse per HTTP e HTTPS/Protetto.
Microsoft Entra Connessione Health supporta l'autenticazione di base durante la connessione ai proxy HTTP?
No. Un meccanismo per specificare un nome utente arbitrario e una password per l'autenticazione di base non è attualmente supportato.
Quali porte del firewall è necessario aprire per il funzionamento di Microsoft Entra Connessione Health Agent?
Vedere la sezione sui requisiti per l'elenco delle porte del firewall e altri requisiti di connettività.
Perché vengono visualizzati due server con lo stesso nome nel portale di Integrità di Microsoft Entra Connessione?
Quando si rimuove un agente da un server, il server non viene rimosso automaticamente dal portale di Integrità di Microsoft Entra Connessione. Se si rimuove manualmente un agente da un server o si rimuove il server stesso, è necessario eliminare manualmente la voce del server dal portale di Integrità di Microsoft Entra Connessione. Per eliminare i server monitorati da Microsoft Entra Connessione Health, è necessario disporre delle autorizzazioni dell'account Microsoft Entra Global Amministrazione istrator o del ruolo Collaboratore nel controllo degli accessi in base al ruolo di Azure.
È possibile ricreare l'immagine di un server o creare un nuovo server con gli stessi dettagli, ad esempio il nome del computer. Se il server già registrato non è stato rimosso dal portale di Integrità di Microsoft Entra Connessione e l'agente è stato installato nel nuovo server, è possibile che vengano visualizzate due voci con lo stesso nome.
In questo caso, eliminare manualmente la voce appartenente al server meno recente. I dati per questo server non dovrebbero essere aggiornati.
È possibile installare Microsoft Entra Connessione Health Agent in Windows Server Core?
No. L'installazione in Server Core non è supportata.
Registrazione dell'agente per l'integrità e aggiornamento dati
Quali sono le cause più comuni che generano errori nella registrazione dell'agente per l'integrità e come risolverle?
Le possibili cause per cui un agente per l'integrità non riesce a eseguire la registrazione sono elencate di seguito:
- L'agente non può comunicare con gli endpoint necessari perché un firewall blocca il traffico. Questo problema è comune nei server proxy dell'applicazione Web. Assicurarsi di aver abilitato la comunicazione in uscita per le porte e gli endpoint obbligatori. Per informazioni dettagliate, vedere la sezione Requisiti.
- La comunicazione in uscita viene sottoposta a un'ispezione TLS dal livello di rete. In questo modo il certificato usato dall'agente viene sostituito dall'entità o dal server per l'ispezione e non è possibile eseguire i passaggi necessari per completare la registrazione dell'agente.
- L'utente non ha accesso per eseguire la registrazione dell'agente. Per impostazione predefinita, agli amministratori globali l'accesso è consentito. È possibile usare il controllo degli accessi in base al ruolo per delegare l'accesso ad altri utenti.
Viene visualizzato un avviso che indica che "i dati Servizio integrità non sono aggiornati". Come si risolve il problema?
Microsoft Entra Connessione Health genera l'avviso quando non riceve tutti i punti dati dal server nelle ultime due ore. Altre informazioni.
Domande sulle operazioni
È necessario abilitare il controllo nei server proxy applicazione Web?
No, non è necessario abilitare il controllo nei server proxy dell'applicazione Web.
Come vengono risolti gli avvisi di integrità di Microsoft Entra Connessione?
Gli avvisi di Integrità di Microsoft Entra Connessione vengono risolti in caso di esito positivo. Microsoft Entra Connessione Health Agents rileva e segnala periodicamente le condizioni di esito positivo al servizio. Per alcuni avvisi, l'eliminazione è basata sul tempo. In altre parole, se la stessa condizione di errore non viene osservata entro 72 ore dalla generazione di avvisi, l'avviso viene risolto automaticamente.
Viene visualizzato l'avviso "La richiesta di autenticazione di test (transazione sintetica) non è riuscita a ottenere un token". Come si risolve il problema?
Microsoft Entra Connessione Health per AD FS genera questo avviso quando l'agente di integrità installato in un server AD FS non riesce a ottenere un token come parte di una transazione sintetica avviata dall'agente di integrità. L'agente di Azure AD Connect Health usa il contesto di sistema locale e tenta di ottenere un token per un self relying party. Questo comportamento è un test catch-all per assicurarsi che AD FS sia in uno stato di emissione di token.
Spesso questo test ha esito negativo perché l'agente di Azure AD Connect Health non può risolvere il nome della farm AD FS. Questo stato può verificarsi se i server AD FS si trovano dietro un servizio di bilanciamento del carico di rete e la richiesta viene avviata da un nodo dietro il servizio di bilanciamento del carico (anziché da un client normale che si trova davanti al servizio di bilanciamento del carico). Questo problema può essere risolto aggiornando il file "hosts" che si trova in "C:\Windows\System32\drivers\etc" per includere l'indirizzo IP del server AD FS o un indirizzo IP di loopback (127.0.0.1) per il nome della farm AD FS (ad esempio sts.contoso.com). Quando si aggiunge il file host, la chiamata di rete viene messa in corto circuito, consentendo in tal modo all'agente di Azure AD Connect Health di ottenere il token.
Viene ricevuto un messaggio di posta elettronica che indica che il computer non ha le patch corrette per gli attacchi ransomware recenti. Qual è il motivo per cui si riceve tale messaggio di posta elettronica?
Il servizio Integrità di Microsoft Entra Connessione ha analizzato tutti i computer monitorati per assicurarsi che siano state installate le patch necessarie. Se almeno un computer non dispone delle patch critiche, viene inviato tale messaggio di posta elettronica agli amministratori del tenant. Per arrivare a tale decisione, è stata usata la logica seguente.
- Trovare tutti gli hotfix installati nel computer.
- Controllare se è presente almeno uno degli hotfix inclusi nell'elenco definito.
- Se sì, il computer è protetto. In caso contrario, il computer è a rischio di attacco.
Per eseguire manualmente questo controllo, è possibile usare lo script di PowerShell seguente. In questo modo viene implementata la logica precedente.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Perché il cmdlet di PowerShell 'Get-MsolDirSyncProvisioningError' mostra un minor numero di errori di sincronizzazione nel risultato?
Get-MsolDirSyncProvisioningError restituisce solo errori di provisioning DirSync. Il portale di integrità Connessione mostra anche altri tipi di errore di sincronizzazione, ad esempio errori di esportazione. Altre informazioni sugli errori di sincronizzazione di Microsoft Entra Connessione.
Perché i controlli di AD FS non vengono generati?
Usare il cmdlet di PowerShell Get-AdfsProperties -AuditLevel per assicurarsi che i log di controllo non siano disabilitati. Altre informazioni sui log di controllo di AD FS. Si noti che sono presenti impostazioni di controllo avanzate di cui è stato eseguito il push nel server AD FS, eventuali modifiche con auditpol.exe verranno sovrascritte (evento se Application Generated non è configurato). In questo caso, impostare i criteri di sicurezza locali per registrare gli errori generati dall'applicazione e l'esito positivo.
Quando il certificato dell'agente verrà rinnovato automaticamente prima della scadenza?
La certificazione dell'agente verrà rinnovata automaticamente 6 mesi prima della data di scadenza. Se non viene rinnovato, verificare che la connessione di rete dell'agente sia stabile. Per risolvere il problema, provare a riavviare i servizi dell'agente o eseguire l'aggiornamento alla versione più recente.
Collegamenti correlati
- Microsoft Entra Connessione Health
- Installazione di Microsoft Entra Connessione Health Agent
- Operazioni sull'integrità di Microsoft Entra Connessione
- Uso di Microsoft Entra Connessione Health con AD FS
- Uso di Microsoft Entra Connessione Health per la sincronizzazione
- Uso di Microsoft Entra Connessione Health con Active Directory Domain Services
- Cronologia delle versioni di Microsoft Entra Connessione Health