Domande frequenti su Microsoft Entra Connect Health

Questo articolo include le risposte alle domande frequenti (FAQ) su Microsoft Entra Connect Health. Le domande sono relative all'uso del servizio, inclusi il modello di fatturazione, le funzionalità, le limitazioni e il supporto.

Domande generali

Gestisco più directory di Microsoft Entra. Come si passa a quella con Entra Microsoft ID P1 o P2?

Per spostarsi tra tenant di Microsoft Entra diversi, selezionare il Nome utente attualmente connesso nell'angolo in alto a destra e scegliere l'account appropriato. Se l'account non è elencato qui, selezionare Disconnetti. Successivamente, usare le credenziali amministratore globale della directory con Microsoft Entra ID P1 o P2 (P1 o P2) abilitato per l'accesso.

Quali versioni dei ruoli di identità sono supportate da Microsoft Entra Connect Health?

La tabella seguente elenca i ruoli e le versioni del sistema operativo supportate.

Ruolo Sistema operativo/Versione
Active Directory Federation Services (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Versione 1.0.9125 o successiva
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Le installazioni di Windows Server Core non sono supportate.

Le funzionalità offerte dal servizio possono variare in base al ruolo e al sistema operativo. È possibile che non tutte le funzionalità siano disponibili per tutte le versioni del sistema operativo. Vedere le descrizioni delle funzionalità per i dettagli.

Quante licenze è necessario avere per monitorare l'infrastruttura?

  • Per il primo agente di Connect Health, è necessaria almeno una licenza P1 o P2 di Microsoft Entra.
  • Ogni agente registrato aggiuntivo richiede altre 25 licenze P1 o P2 di Microsoft Entra.
  • Il numero di agenti è uguale al numero totale di agenti registrati in tutti i ruoli monitorati (AD FS, Microsoft Entra Connect e/o AD DS).
  • Le licenze di Microsoft Entra Connect Health non richiedono l'assegnazione a utenti specifici. È necessario soltanto disporre del numero di licenze valide.

Informazioni sulle licenze sono disponibili anche nella pagina dei prezzi di Microsoft Entra.

Esempio:

Agenti registrati Licenze necessarie Esempio di configurazione di monitoraggio
1 1 1 Server di Microsoft Entra Connect
2 26 1 Server di Microsoft Entra Connect e 1 controller di dominio
3 51 1 server di Active Directory Federation Services (AD FS), 1 proxy di AD FS e 1 controller di dominio
4 76 1 server di AD FS, 1 proxy di AD FS e 2 controller di dominio
5 101 1 Server di Microsoft Entra Connect, 1 server AD FS, 1 proxy AD FS e 2 controller di dominio

Domande sull'installazione

L'installazione dell'agente viene aggiornata automaticamente quando è presente una nuova versione dell'agente?

Sì, tutti gli agenti verranno aggiornati automaticamente quando è presente una nuova versione dell'agente.

È possibile rifiutare esplicitamente o disabilitare l'aggiornamento automatico dell'agente?

No, l'aggiornamento automatico è obbligatorio. Se non si vuole che l'agente venga aggiornato quando viene rilasciata una nuova versione, è necessario disinstallare l'agente.

Qual è l'impatto dell'installazione dell'agente di Microsoft Entra Connect Health in singoli server?

L'impatto dell'installazione dell'agente di Microsoft Entra Connect Health, di AD FS, dei server proxy applicazione Web, dei server di Microsoft Entra Connect (sincronizzazione) e dei controller di dominio è minimo per quanto riguarda CPU, utilizzo della memoria, larghezza di banda della rete e archiviazione.

I numeri seguenti sono approssimativi:

  • Utilizzo della CPU: ~1-5% di incremento.
  • Utilizzo della memoria: fino a al 10% della memoria di sistema totale.

Nota

Se l'agente non può comunicare con Azure, archivia i dati localmente per un limite massimo definito. L'agente sovrascrive i dati "memorizzati nella cache" secondo un criterio di tipo "intervento di manutenzione meno recente".

  • Archiviazione buffer locale per gli agenti di Microsoft Entra Connect Health: ~20 MB.
  • Per i server di AD FS, è consigliabile effettuare il provisioning di 1.024 MB (1 GB) di spazio su disco per il canale di controllo di AD FS per consentire agli agenti di Microsoft Entra Connect Health di elaborare tutti i dati di controllo prima che vengano sovrascritti.

È necessario riavviare i server durante l'installazione degli agenti di Microsoft Entra Connect Health?

No. Per l'installazione degli agenti non è necessario il riavvio del server. L'installazione di alcuni passaggi preliminare può richiedere tuttavia un riavvio del server.

Ad esempio, l'installazione di .NET 4.6.2 Framework può richiedere un riavvio del server.

Il servizio Microsoft Entra Connect Health usa un proxy HTTP pass-through?

Sì. Per le operazioni in corso, è possibile configurare l'agente per l'integrità in modo che usi un proxy HTTP per inoltrare le richieste HTTP in uscita. Per altre informazioni, vedere la configurazione del proxy HTTP per gli agenti per l'integrità.

Se è necessario configurare un proxy durante la registrazione dell'agente, modificare prima di tutto le impostazioni del proxy di Internet Explorer.

  1. Aprire Internet Explorer >Impostazioni>Opzioni Internet>Connessioni>Impostazioni LAN.
  2. Selezionare Usa un server di proxy per la rete LAN.
  3. Selezionare Avanzate se sono presenti porte proxy diverse per HTTP e HTTPS/Protetto.

Il servizio Microsoft Entra Connect Health supporta l'autenticazione di base per la connessione ai proxy HTTP?

No. Non è attualmente supportato alcun meccanismo per specificare in modo arbitrario un nome utente o una password per l'autenticazione di base.

Quali porte del firewall è necessario aprire per garantire il funzionamento dell'agente di Microsoft Entra Connect Health?

Vedere la sezione sui requisiti per l'elenco delle porte del firewall e altri requisiti di connettività.

Perché vengono visualizzati due server con lo stesso nome nel portale di Microsoft Entra Connect Health?

Quando si rimuove un agente da un server, tale server non viene automaticamente rimosso dal portale di Microsoft Entra Connect Health. Se si rimuove manualmente un agente da un server o se si rimuove il server stesso, è necessario eliminare manualmente la voce relativa al server dal portale di Microsoft Entra Connect Health. Per eliminare i server monitorati da Microsoft Entra Connect Health, è necessario disporre delle autorizzazioni dell'account amministratore globale di Microsoft Entra o del ruolo Contributore nel controllo degli accessi in base al ruolo di Azure.

È possibile ricreare l'immagine di un server o creare un nuovo server con gli stessi dettagli, ad esempio il nome del computer. Se il server già registrato non è stato rimosso dal portale di Microsoft Entra Connect Health e l'agente è stato installato nel nuovo server, è possibile che vengano visualizzate due voci con lo stesso nome.

In questo caso, eliminare manualmente la voce appartenente al server meno recente. I dati per questo server non dovrebbero essere aggiornati.

È possibile installare l'agente di Microsoft Entra Connect Health in Windows Server Core?

No. L'installazione in Server Core non è supportata.

Dopo l'installazione di Microsoft Entra Connect Sync, con un account con ruolo di amministratore ibrido, perché l'agente Connect Health per la sincronizzazione è disabilitato nei servizi?

Per installare l'agente Connect Health per la sincronizzazione, è necessario essere un amministratore globale. Per attivare l'agente, è necessario reinstallarlo usando un account amministratore globale.

Registrazione dell'agente per l'integrità e aggiornamento dati

Quali sono le cause più comuni che generano errori nella registrazione dell'agente per l'integrità e come risolverle?

Le possibili cause per cui un agente per l'integrità non riesce a eseguire la registrazione sono elencate di seguito:

  • L'agente non può comunicare con gli endpoint necessari perché un firewall blocca il traffico. Questo problema è comune nei server proxy applicazione Web. Assicurarsi di aver abilitato la comunicazione in uscita per le porte e gli endpoint obbligatori. Per informazioni dettagliate, vedere la sezione Requisiti.
  • La comunicazione in uscita viene sottoposta a un'ispezione TLS dal livello di rete. In questo modo il certificato usato dall'agente viene sostituito dall'entità o dal server per l'ispezione e non è possibile eseguire i passaggi necessari per completare la registrazione dell'agente.
  • L'utente non può eseguire la registrazione dell'agente. Gli amministratori globali possono farlo per impostazione predefinita. È possibile usare il controllo degli accessi in base al ruolo per delegare l'accesso ad altri utenti.

Si ricevono avvisi che indicano che "I dati del Servizio integrità non sono aggiornati". Come si risolve il problema?

Microsoft Entra Connect Health genera l'avviso quando non riceve tutti i punti dati dal server nelle ultime due ore. Altre informazioni.

Domande sulle operazioni

È necessario abilitare il controllo nei server proxy applicazione Web?

No, il controllo non deve essere abilitato nei server proxy applicazione Web.

Come vengono risolti gli avvisi di Microsoft Entra Connect Health?

Gli avvisi di Microsoft Entra Connect Health vengono risolti se si verifica una condizione di esito positivo. Gli agenti di Microsoft Entra Connect Health rilevano e segnalano periodicamente al servizio le condizioni di esito positivo. Per alcuni avvisi, l'eliminazione è basata sul tempo. In altri termini, se entro 72 ore dalla generazione dell'avviso non viene osservata la stessa condizione di errore, l'avviso viene automaticamente risolto.

Viene visualizzato l'avviso "La richiesta di autenticazione di test (transazione sintetica) non è riuscita a ottenere un token". Come si risolve il problema?

Microsoft Entra Connect Health per AD FS genera questo avviso quando l'agente installato in un server AD FS non riesce a ottenere un token in quanto parte di una transazione sintetica avviata dall'agente stesso. L'agente di Azure AD Connect Health usa il contesto di sistema locale e tenta di ottenere un token per un self relying party. Questo comportamento è un test di tipo catch-all per assicurarsi che AD FS sia in uno stato di rilascio di token.

Spesso questo test ha esito negativo perché l'agente di Azure AD Connect Health non può risolvere il nome della farm AD FS. Questo stato può verificarsi se i server AD FS si trovano dietro un bilanciamento del carico di rete e la richiesta viene avviata da un nodo che si trova dietro il bilanciamento del carico, in contrapposizione a un client normale che si trova davanti al bilanciamento del carico. Questo problema può essere risolto aggiornando il file "hosts" in C:\Windows\System32\drivers\etc per includere l'indirizzo IP del server AD FS o un indirizzo IP di loopback (127.0.0.1) per il nome della farm AD FS (come sts.contoso.com). Quando si aggiunge il file host, la chiamata di rete viene messa in corto circuito, consentendo in tal modo all'agente di Azure AD Connect Health di ottenere il token.

Viene ricevuto un messaggio di posta elettronica che indica che il computer non ha le patch corrette per gli attacchi ransomware recenti. Qual è il motivo per cui si riceve tale messaggio di posta elettronica?

Il servizio di Microsoft Entra Connect Health ha analizzato tutti i computer di cui esegue il monitoraggio per verificare che le patch necessarie siano installate. Se almeno un computer non dispone delle patch critiche, viene inviato tale messaggio di posta elettronica agli amministratori del tenant. Per arrivare a tale decisione, è stata usata la logica seguente.

  1. Trovare tutti gli hotfix installati nel computer.
  2. Controllare se è presente almeno uno degli hotfix inclusi nell'elenco definito.
  3. Se sì, il computer è protetto. In caso contrario, il computer è a rischio di attacco.

Per eseguire manualmente questo controllo, è possibile usare lo script di PowerShell seguente. In questo modo viene implementata la logica precedente.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Perché nei risultati del cmdlet di PowerShell 'Get-MsolDirSyncProvisioningError' sono riportati meno errori di sincronizzazione?

Get-MsolDirSyncProvisioningError restituisce solo errori di provisioning DirSync. Il portale Connect Health mostra altri tipi di errore di sincronizzazione, ad esempio errori di esportazione. Altre informazioni sugli errori di Microsoft Entra Connect Sync.

Perché i controlli AD FS non vengono generati?

Usare il cmdlet di PowerShell Get-AdfsProperties -AuditLevel per assicurarsi che i log di controllo non siano disabilitati. Sono disponibili altre informazioni sui log di controllo AD FS. Si noti che in presenza di impostazioni di controllo di cui è stato eseguito il push nel server AD FS, le eventuali modifiche con auditpol.exe verranno sovrascritte, anche se l'impostazione Generato dall'applicazione non è configurata. In questo caso, impostare i criteri di sicurezza locale per la registrazione degli esiti negativi e positivi di Generato dall'applicazione.

In quali casi il certificato dell'agente verrà rinnovato automaticamente prima della scadenza?

La certificazione dell'agente verrà rinnovata automaticamente sei mesi prima della data di scadenza. Se non viene rinnovata, assicurarsi che la connessione di rete dell'agente sia stabile. Per risolvere il problema, provare a riavviare i servizi dell'agente o eseguire l'aggiornamento alla versione più recente.