Este artigo inclui respostas a perguntas frequentes (FAQs) sobre o Microsoft Entra Connect Health. Estas perguntas frequentes abrangem perguntas sobre como utilizar o serviço, que inclui o modelo de faturação, capacidades, limitações e suporte.
Perguntas gerais
Eu gerencio vários diretórios do Microsoft Entra. Como faço para mudar para o que tem o Microsoft Entra ID P1 ou P2?
Para alternar entre diferentes locatários do Microsoft Entra, selecione o Nome de Usuário conectado no momento no canto superior direito e escolha a conta apropriada. Se a conta não estiver listada aqui, selecione Sair. Em seguida, use as credenciais de Administrador Global do diretório que tem o Microsoft Entra ID P1 ou P2 (P1 ou P2) habilitado para entrar.
Que versão das funções de identidade são suportadas pelo Microsoft Entra Connect Health?
A tabela a seguir lista as funções e as versões suportadas do sistema operacional.
| Função | Sistema operacional / Versão |
|---|---|
| Serviços de Federação do Active Directory (AD FS) |
|
| Microsoft Entra Connect | Versão 1.0.9125 ou superior |
| Serviços de Domínio Ative Directory (AD DS) |
|
Não há suporte para instalações do Windows Server Core.
Os recursos fornecidos pelo serviço podem diferir com base na função e no sistema operacional. Todos os recursos podem não estar disponíveis, para todas as versões do sistema operacional. Consulte as descrições dos recursos para obter detalhes.
De quantas licenças necessito para monitorizar a minha infraestrutura?
- O primeiro Connect Health Agent requer pelo menos uma licença do Microsoft Entra P1 ou P2.
- Cada agente registrado adicional requer mais 25 licenças do Microsoft Entra P1 ou P2.
- A contagem de agentes é equivalente ao número total de agentes registrados em todas as funções monitoradas (AD FS, Microsoft Entra Connect e/ou AD DS).
- O licenciamento do Microsoft Entra Connect Health não exige que você atribua a licença a usuários específicos. Você só precisa ter o número necessário de licenças válidas.
As informações de licenciamento também podem ser encontradas na página de preços do Microsoft Entra.
Exemplo:
| Agentes registados | Licenças necessárias | Exemplo de configuração de monitoramento |
|---|---|---|
| 1 | 1 | 1 Servidor Microsoft Entra Connect |
| 2 | 26 | 1 servidor Microsoft Entra Connect e 1 controlador de domínio |
| 3 | 51 | 1 servidor dos Serviços de Federação do Ative Directory (AD FS), 1 proxy AD FS e 1 controlador de domínio |
| 4 | 76 | 1 servidor AD FS, 1 proxy AD FS e 2 controladores de domínio |
| 5 | 101 | 1 servidor Microsoft Entra Connect, 1 servidor AD FS, 1 proxy AD FS e 2 controladores de domínio |
Perguntas sobre instalação
A instalação do meu agente é atualizada automaticamente quando há uma nova versão do agente?
Sim, todos os agentes serão atualizados automaticamente quando houver uma nova versão do agente.
Posso desativar ou desativar a atualização automática do agente?
Não, a atualização automática é obrigatória. Se você não quiser que o agente seja atualizado quando uma nova versão for lançada, desinstale o agente.
Qual é o impacto da instalação do Microsoft Entra Connect Health Agent em servidores individuais?
O impacto da instalação do Microsoft Entra Connect Health Agent, AD FS, servidores proxy de aplicações Web, servidores Microsoft Entra Connect (sincronização), controladores de domínio é mínimo em relação à CPU, consumo de memória, largura de banda de rede e armazenamento.
Os seguintes números são uma aproximação:
- Consumo de CPU: ~1-5% de aumento.
- Consumo de memória: até 10% da memória total do sistema.
Nota
Se o agente não puder se comunicar com o Azure, o agente armazenará os dados localmente para um limite máximo definido. O agente substitui os dados "armazenados em cache" em uma base "menos recentemente atendida".
- Armazenamento de buffer local para agentes de integridade do Microsoft Entra Connect: ~20 MB.
- Para servidores AD FS, recomendamos que você provisione um espaço em disco de 1.024 MB (1 GB) para o canal de auditoria do AD FS para que os Agentes de Integridade do Microsoft Entra Connect processem todos os dados de auditoria antes que eles sejam substituídos.
Terei que reinicializar meus servidores durante a instalação dos Agentes de Saúde do Microsoft Entra Connect?
N.º A instalação dos agentes não exigirá que você reinicie o servidor. No entanto, a instalação de algumas etapas de pré-requisito pode exigir uma reinicialização do servidor.
Por exemplo, a instalação do .NET 4.6.2 Framework pode exigir uma reinicialização do servidor.
O Microsoft Entra Connect Health funciona através de um proxy HTTP de passagem?
Sim. Para operações em andamento, você pode configurar o Agente de Integridade para usar um proxy HTTP para encaminhar solicitações HTTP de saída. Leia mais sobre como configurar o proxy HTTP para agentes de integridade.
Se você precisar configurar um proxy durante o registro do agente, talvez seja necessário modificar as configurações de Proxy do Internet Explorer com antecedência.
- Abra Configurações do Internet Explorer>,>Opções>da Internet, Conexões>Configurações da LAN.
- Selecione Usar um servidor proxy para sua LAN.
- Selecione Avançado se tiver portas proxy diferentes para HTTP e HTTPS/Secure.
O Microsoft Entra Connect Health oferece suporte à autenticação Básica ao se conectar a proxies HTTP?
N.º Atualmente, não há suporte para um mecanismo para especificar um nome de usuário e senha arbitrários para autenticação básica.
Que portas de firewall preciso abrir para que o Agente de Integridade do Microsoft Entra Connect funcione?
Consulte a seção de requisitos para obter a lista de portas de firewall e outros requisitos de conectividade.
Por que vejo dois servidores com o mesmo nome no portal Microsoft Entra Connect Health?
Quando você remove um agente de um servidor, o servidor não é removido automaticamente do portal Microsoft Entra Connect Health. Se você remover manualmente um agente de um servidor ou remover o próprio servidor, precisará excluir manualmente a entrada do servidor do portal Microsoft Entra Connect Health. Para excluir servidores monitorados do Microsoft Entra Connect Health, você deve ter permissões de conta de Administrador Global do Microsoft Entra ou a função de Colaborador no controle de acesso baseado em função do Azure.
Você pode criar uma nova imagem de um servidor ou criar um novo servidor com os mesmos detalhes (como o nome da máquina). Se você não removeu o servidor já registrado do portal Microsoft Entra Connect Health e instalou o agente no novo servidor, poderá ver duas entradas com o mesmo nome.
Nesse caso, exclua manualmente a entrada que pertence ao servidor mais antigo. Os dados para este servidor devem estar desatualizados.
Posso instalar o agente Microsoft Entra Connect Health no Windows Server Core?
N.º A instalação no Server Core não é suportada.
Registo de Agentes de Saúde e atualização de dados
Quais são os motivos comuns para as falhas de registro do Agente de Integridade e como solucionar problemas?
O agente de saúde pode deixar de se registar devido aos seguintes possíveis motivos:
- O agente não pode se comunicar com os pontos de extremidade necessários porque um firewall está bloqueando o tráfego. Esse problema é comum em servidores proxy de aplicativos Web. Certifique-se de ter permitido a comunicação de saída para os pontos de extremidade e portas necessários. Veja a secção Requisitos para obter detalhes.
- A comunicação de saída é submetida a uma inspeção TLS pela camada de rede. Isso faz com que o certificado que o agente usa seja substituído pelo servidor/entidade de inspeção e as etapas para concluir o registro do agente falhem.
- O usuário não tem acesso para realizar o registro do agente. Os administradores globais têm acesso por padrão. Você pode usar o controle de acesso baseado em função do Azure (Azure RBAC) para delegar acesso a outros usuários.
Estou sendo alertado de que "os dados do Serviço de Saúde não estão atualizados". Como posso resolver o problema?
O Microsoft Entra Connect Health gera o alerta quando não recebe todos os pontos de dados do servidor nas últimas duas horas. Ler mais.
Perguntas sobre operações
Preciso habilitar a auditoria nos servidores proxy de aplicativos Web?
Não, a auditoria não precisa ser habilitada nos servidores proxy de aplicativos Web.
Como os alertas de integridade do Microsoft Entra Connect são resolvidos?
Os alertas de integridade do Microsoft Entra Connect são resolvidos em uma condição de sucesso. Os Agentes de Saúde do Microsoft Entra Connect detetam e relatam as condições de sucesso para o serviço periodicamente. Para alguns alertas, a supressão é baseada no tempo. Em outras palavras, se a mesma condição de erro não for observada dentro de 72 horas após a geração do alerta, o alerta será resolvido automaticamente.
Estou sendo alertado de que "Solicitação de autenticação de teste (transação sintética) não conseguiu obter um token". Como posso resolver o problema?
O Microsoft Entra Connect Health for AD FS gera esse alerta quando o Agente de Integridade instalado em um servidor AD FS não consegue obter um token como parte de uma transação sintética iniciada pelo Agente de Integridade. O agente de integridade usa o contexto do sistema local e tenta obter um token para uma parte autoconfiável. Esse comportamento é um teste abrangente para garantir que o AD FS esteja em um estado de emissão de tokens.
Na maioria das vezes, esse teste falha porque o Agente de Integridade não consegue resolver o nome do farm do AD FS. Esse estado pode acontecer se os servidores AD FS estiverem atrás de um balanceador de carga de rede e a solicitação for iniciada a partir de um nó que está atrás do balanceador de carga (em oposição a um cliente regular que está na frente do balanceador de carga). Esse problema pode ser corrigido atualizando o arquivo "hosts" localizado em "C:\Windows\System32\drivers\etc" para incluir o endereço IP do servidor AD FS ou um endereço IP de loopback (127.0.0.1) para o nome do farm do AD FS (como sts.contoso.com). Adicionar o arquivo host fará um curto-circuito na chamada de rede, permitindo que o Agente de Saúde obtenha o token.
Recebi um e-mail indicando que minhas máquinas NÃO foram corrigidas para os recentes ataques de ransomware. Por que recebi este e-mail?
O serviço Microsoft Entra Connect Health examinou todas as máquinas que monitora para garantir que os patches necessários fossem instalados. O e-mail era enviado aos administradores de locatários se pelo menos uma máquina não tivesse os patches críticos. A seguinte lógica foi usada para fazer essa determinação.
- Encontre todos os hotfixes instalados na máquina.
- Verifique se pelo menos um dos HotFixes da lista definida está presente.
- Se Sim, a máquina está protegida. Caso contrário, a máquina corre o risco de ser atacada.
Você pode usar o seguinte script do PowerShell para executar essa verificação manualmente. Ele implementa a lógica acima.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Por que o cmdlet do PowerShell 'Get-MsolDirSyncProvisioningError' mostra menos erros de sincronização no resultado?
Get-MsolDirSyncProvisioningError retornará apenas erros de provisionamento do DirSync. O portal Connect Health também mostra outros tipos de erro de sincronização, como erros de exportação. Leia mais sobre erros de sincronização do Microsoft Entra Connect.
Por que minhas auditorias do AD FS não estão sendo geradas?
Use o cmdlet do PowerShell Get-AdfsProperties -AuditLevel para garantir que os logs de auditoria não estejam no estado desabilitado. Leia mais sobre os logs de auditoria do AD FS. Observe que, se houver configurações de auditoria avançadas enviadas por push para o servidor AD FS, quaisquer alterações com auditpol.exe serão substituídas (evento se o aplicativo gerado não estiver configurado). Nesse caso, defina a diretiva de segurança local para registrar falhas e êxito gerados pelo aplicativo.
Quando o certificado de agente será renovado automaticamente antes da expiração?
A certificação do agente será renovada automaticamente 6 meses antes da data de expiração. Se não for renovado, verifique se a conexão de rede do agente está estável. Reiniciar os serviços do agente ou atualizar para a versão mais recente também pode resolver o problema.
Ligações relacionadas
- Estado de funcionamento do Microsoft Entra Connect
- Instalação do Microsoft Entra Connect Health Agent
- Operações do Microsoft Entra Connect Health
- Usando o Microsoft Entra Connect Health com o AD FS
- Usando o Microsoft Entra Connect Health para sincronização
- Usando o Microsoft Entra Connect Health com o AD DS
- Histórico de versões do Microsoft Entra Connect Health