Vanliga frågor och svar om Microsoft Entra Anslut Health

Om du vill växla mellan olika Microsoft Entra-klienter väljer du det inloggade användarnamnet i det övre högra hörnet och väljer sedan lämpligt konto. Om kontot inte visas här väljer du Logga ut. Använd sedan autentiseringsuppgifterna global administratör för katalogen som har Microsoft Entra ID P1 eller P2 (P1 eller P2) aktiverat för att logga in.

I följande tabell visas roller och operativsystemversioner som stöds.

Windows Server Core-installationer stöds inte.

Funktionerna som tillhandahålls av tjänsten kan skilja sig beroende på rollen och operativsystemet. Alla funktioner kanske inte är tillgängliga för alla operativsystemversioner. Mer information finns i funktionsbeskrivningarna.

• Den första Anslut Health Agent kräver minst en Microsoft Entra P1- eller P2-licens.
• Varje ytterligare registrerad agent kräver ytterligare 25 Microsoft Entra P1- eller P2-licenser.
• Antalet agenter motsvarar det totala antalet agenter som är registrerade för alla övervakade roller (AD FS, Microsoft Entra Anslut och/eller AD DS).
• Microsoft Entra Anslut Health-licensiering kräver inte att du tilldelar licensen till specifika användare. Du behöver bara ha det nödvändiga antalet giltiga licenser.

Licensieringsinformation finns också på prissättningssidan för Microsoft Entra.

Exempel:

Ja, alla agenter uppdateras automatiskt när det finns en ny version av agenten.

Nej, automatisk uppgradering är obligatorisk. Om du inte vill att agenten ska uppgraderas när en ny version släpps bör du avinstallera agenten.

Effekten av att installera Microsoft Entra Anslut Health Agent, AD FS, webbprogramproxyservrar, Microsoft Entra Anslut (synkronisering) servrar, domänkontrollanter är minimal när det gäller PROCESSOR, minnesförbrukning, nätverksbandbredd och lagring.

Följande tal är en uppskattning:

• CPU-förbrukning: ~1–5 % ökning.
• Minnesförbrukning: Upp till 10 % av det totala systemminnet.

• Lokal buffertlagring för Microsoft Entra Anslut Hälsoagenter: ~20 MB.
• För AD FS-servrar rekommenderar vi att du etablerar ett diskutrymme på 1 024 MB (1 GB) för AD FS-granskningskanalen för Microsoft Entra Anslut Hälsoagenter för att bearbeta alla granskningsdata innan de skrivs över.

Nej. Installationen av agenterna kräver inte att du startar om servern. Installationen av vissa nödvändiga steg kan dock kräva en omstart av servern.

Installationen av .NET 4.6.2 Framework kan till exempel kräva en omstart av servern.

Ja. För pågående åtgärder kan du konfigurera hälsoagenten så att den använder en HTTP-proxy för att vidarebefordra utgående HTTP-begäranden. Läs mer om hur du konfigurerar HTTP-proxy för hälsoagenter.

Om du behöver konfigurera en proxy under agentregistreringen kan du behöva ändra proxyinställningarna för Internet Explorer i förväg.

1. Öppna Internet Explorer >Inställningar> Internet-alternativ> Anslut ions>LAN Inställningar.
2. Välj Använd en proxyserver för ditt LAN.
3. Välj Avancerat om du har olika proxyportar för HTTP och HTTPS/Secure.

Nej. En mekanism för att ange ett godtyckligt användarnamn och lösenord för grundläggande autentisering stöds inte för närvarande.

Se avsnittet krav för listan över brandväggsportar och andra anslutningskrav.

När du tar bort en agent från en server tas inte servern bort automatiskt från Microsoft Entra Anslut Health-portalen. Om du tar bort en agent manuellt från en server eller tar bort själva servern måste du manuellt ta bort serverposten från Microsoft Entra Anslut Health-portalen. Om du vill ta bort övervakade servrar från Microsoft Entra Anslut Health måste du ha antingen kontobehörigheter för Microsoft Entra Global Administrator eller rollen Deltagare i rollbaserad åtkomstkontroll i Azure.

Du kan återskapa en server eller skapa en ny server med samma information (till exempel datornamn). Om du inte tog bort den redan registrerade servern från Microsoft Entra-Anslut Health-portalen och du installerade agenten på den nya servern kan det hända att du ser två poster med samma namn.

I det här fallet tar du bort posten som tillhör den äldre servern manuellt. Data för den här servern ska vara inaktuella.

Nej. Installation på Server Core stöds inte.

Hälsoagenten kan inte registrera sig på grund av följande möjliga orsaker:

• Agenten kan inte kommunicera med de slutpunkter som krävs eftersom en brandvägg blockerar trafik. Det här problemet är vanligt på webbprogramproxyservrar. Kontrollera att du har tillåtit utgående kommunikation till de slutpunkter och portar som krävs. Läs mer i avsnittet med förutsättningar.
• Utgående kommunikation genomgår en TLS-inspektion av nätverksskiktet. Detta gör att certifikatet som agenten använder ersätts av inspektionsservern/entiteten, och stegen för att slutföra agentregistreringen misslyckas.
• Användaren har inte åtkomst till att utföra registreringen av agenten. Globala administratörer har åtkomst som standard. Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att delegera åtkomst till andra användare.

Microsoft Entra Anslut Health genererar aviseringen när den inte tar emot alla datapunkter från servern under de senaste två timmarna. Läs mer.

Nej, granskning behöver inte aktiveras på webbprogramproxyservrarna.

Microsoft Entra Anslut Health-aviseringar löses på ett lyckat villkor. Microsoft Entra Anslut Hälsoagenter identifierar och rapporterar regelbundet framgångsvillkoren till tjänsten. För några aviseringar är undertryckningen tidsbaserad. Med andra ord, om samma feltillstånd inte observeras inom 72 timmar från aviseringsgenereringen löses aviseringen automatiskt.

Microsoft Entra Anslut Health för AD FS genererar den här aviseringen när hälsoagenten som är installerad på en AD FS-server inte hämtar en token som en del av en syntetisk transaktion som initieras av hälsoagenten. Hälsoagenten använder den lokala systemkontexten och försöker hämta en token för en självberoende part. Det här beteendet är ett catch-all-test för att säkerställa att AD FS är i ett tillstånd där token utfärdas.

Det här testet misslyckas oftast eftersom hälsoagenten inte kan matcha AD FS-servergruppens namn. Det här tillståndet kan inträffa om AD FS-servrarna ligger bakom en nätverkslastbalanserare och begäran initieras från en nod som ligger bakom lastbalanseraren (i motsats till en vanlig klient som finns framför lastbalanseraren). Det här problemet kan åtgärdas genom att uppdatera filen "hosts" som finns under C:\Windows\System32\drivers\etc för att inkludera IP-adressen för AD FS-servern eller en loopback IP-adress (127.0.0.1) för AD FS-servergruppens namn (till exempel sts.contoso.com). Om du lägger till värdfilen kommer nätverksanropet att kortslutas, vilket gör att hälsoagenten kan hämta token.

Microsoft Entra Anslut Health-tjänsten genomsökt alla datorer som den övervakar för att säkerställa att nödvändiga korrigeringar har installerats. E-postmeddelandet skickades till klientadministratörerna om minst en dator inte hade de kritiska korrigeringarna. Följande logik användes för att göra den här bedömningen.

1. Hitta alla snabbkorrigeringar som är installerade på datorn.
2. Kontrollera om minst en av snabbkorrigeringarna från den definierade listan finns.
3. Om ja är datorn skyddad. Om inte, är datorn i riskzonen för attacken.

Du kan använda följande PowerShell-skript för att utföra den här kontrollen manuellt. Den implementerar logiken ovan.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError returnerar endast DirSync-etableringsfel. Anslut Health-portalen visar även andra typer av synkroniseringsfel, till exempel exportfel. Läs mer om Microsoft Entra Anslut Sync-fel.

Använd PowerShell-cmdleten Get-AdfsProperties -AuditLevel för att säkerställa att granskningsloggarna inte är i inaktiverat tillstånd. Läs mer om AD FS-granskningsloggar. Observera att om det finns avancerade granskningsinställningar som skickas till AD FS-servern skrivs alla ändringar med auditpol.exe över (händelse om programgenererade inte har konfigurerats). I det här fallet anger du den lokala säkerhetsprincipen för att logga programgenererade fel och lyckade fel.

Agentcertifieringen förnyas automatiskt 6 månader före utgångsdatumet. Om den inte förnyas kontrollerar du att agentens nätverksanslutning är stabil. Starta om agenttjänsterna eller uppdatera till den senaste versionen kan också lösa problemet.

Relaterade länkar

• Microsoft Entra Anslut Health
• Installation av Microsoft Entra Anslut Health Agent
• Microsoft Entra Anslut Health-åtgärder
• Använda Microsoft Entra Anslut Health med AD FS
• Använda Microsoft Entra Anslut Health för synkronisering
• Använda Microsoft Entra Anslut Health med AD DS
• Versionshistorik för Microsoft Entra Anslut Health