本文包含 Microsoft Entra 連線 Health 常見問題的解答。 這些常見問題涵蓋如何使用服務的問題,其中包括計費模型、功能、限制和支援。
一般問題
我管理多個 Microsoft Entra 目錄。 如何? 切換至具有 Microsoft Entra ID P1 或 P2 的識別碼?
若要在不同的 Microsoft Entra 租用戶之間切換,請選取右上角目前登入 的使用者名稱 ,然後選擇適當的帳戶。 如果此處未列出帳戶,請選取 [註銷]。接下來,使用已啟用 Microsoft Entra ID P1 或 P2 (P1 或 P2) 之目錄的全域 管理員 istrator 認證來登入。
Microsoft Entra 連線 Health 支援哪些版本的身分識別角色?
下表列出角色和支援的操作系統版本。
| 角色 | 操作系統/ 版本 |
|---|---|
| Active Directory 同盟服務 (AD FS) |
|
| Microsoft Entra Connect | 1.0.9125 版或更高版本 |
| Active Directory Domain Services (AD DS) |
|
不支援 Windows Server Core 安裝。
服務所提供的功能可能會根據角色和操作系統而有所不同。 所有功能都可能無法用於所有作業系統版本。 如需詳細資訊,請參閱功能描述。
我需要多少個授權來監視我的基礎結構?
- 第一個 連線 Health Agent 至少需要一個 Microsoft Entra P1 或 P2 授權。
- 每個額外的已註冊代理程式都需要另外 25 個 Microsoft Entra P1 或 P2 授權。
- 代理程式計數相當於在所有受監視角色中註冊的代理程序總數(AD FS、Microsoft Entra 連線 和/或 AD DS)。
- Microsoft Entra 連線 Health 授權不需要您將授權指派給特定使用者。 您只需要具備必要的有效授權數目。
您也可以在 Microsoft Entra 定價頁面上找到授權資訊。
範例:
| 已註冊的代理程式 | 所需的授權 | 監視組態範例 |
|---|---|---|
| 1 | 1 | 1 Microsoft Entra 連線 伺服器 |
| 2 | 26 | 1 Microsoft Entra 連線 伺服器和 1 個域控制器 |
| 3 | 51 | 1 Active Directory 同盟服務 (AD FS) 伺服器、1 個 AD FS Proxy 和 1 個域控制器 |
| 4 | 76 | 1 個 AD FS 伺服器、1 個 AD FS Proxy 和 2 個域控制器 |
| 5 | 101 | 1 Microsoft Entra 連線 伺服器、1 個 AD FS 伺服器、1 個 AD FS Proxy 和 2 個域控制器 |
安裝問題
當有新版本的代理程式時,我的代理程式安裝是否會自動更新?
是,當有新版本的代理程式時,所有代理程式都會自動更新。
我是否可以退出退出或停用代理程式的自動升級?
否,自動升級是必要的。 如果您不希望在發行新版本時升級代理程式,您應該卸載代理程式。
在個別伺服器上安裝 Microsoft Entra 連線 Health Agent 有何影響?
安裝 Microsoft Entra 連線 Health Agent、AD FS、Web 應用程式 Proxy 伺服器、Microsoft Entra 連線 (sync) 伺服器、域控制器的影響最低,與 CPU、記憶體耗用量、網路頻寬和記憶體有關。
下列數位是近似值:
- CPU 耗用量:約 1-5% 增加。
- 記憶體耗用量:系統總記憶體的最多 10%。
注意
如果代理程式無法與 Azure 通訊,代理程式會將資料儲存在本機,以取得已定義的上限。 代理程式會以「最近最少的服務」為基礎覆寫「快取」數據。
- Microsoft Entra 連線 Health Agents 的本機緩衝區記憶體:~20 MB。
- 針對 AD FS 伺服器,我們建議您為 Microsoft Entra 連線 Health Agents 布建 AD FS 稽核通道的磁碟空間為 1,024 MB(1 GB),以在覆寫之前處理所有稽核數據。
我是否需要在安裝 Microsoft Entra 連線 Health Agents 期間重新啟動伺服器?
否。 代理程式的安裝不需要重新啟動伺服器。 不過,安裝某些必要條件步驟可能需要重新啟動伺服器。
例如,安裝 .NET 4.6.2 Framework 可能需要重新啟動伺服器。
Microsoft Entra 連線 Health 是否透過傳遞 HTTP Proxy 運作?
是。 針對進行中的作業,您可以將 Health Agent 設定為使用 HTTP Proxy 來轉送輸出 HTTP 要求。 深入瞭解如何 設定健全狀況代理程序的 HTTP Proxy。
如果您需要在代理程式註冊期間設定 Proxy,您可能需要事先修改 Internet Explorer Proxy 設定。
- 開啟 Internet Explorer >設定> Internet Options> 連線 ions>LAN 設定。
- 選取 [為您的 LAN 使用 Proxy 伺服器]。
- 如果您有 HTTP 和 HTTPS/Secure 的不同 Proxy 連接埠,請選取 [進階 ]。
連線到 HTTP Proxy 時,Microsoft Entra 連線 Health 是否支援基本身份驗證?
否。 目前不支援指定基本身份驗證任意使用者名稱和密碼的機制。
我需要開啟哪些防火牆埠,Microsoft Entra 連線 Health Agent 才能運作?
為什麼我在 Microsoft Entra 連線 Health 入口網站中看到兩部具有相同名稱的伺服器?
當您從伺服器移除代理程式時,伺服器不會從 Microsoft Entra 連線 Health 入口網站自動移除。 如果您手動從伺服器移除代理程式或移除伺服器本身,您必須從 Microsoft Entra 連線 Health 入口網站手動刪除伺服器專案。 若要從 Microsoft Entra 連線 Health 中刪除受監視的伺服器,您必須擁有 Microsoft Entra Global 管理員 istrator 帳戶許可權,或 Azure 角色型訪問控制中的參與者角色。
您可以重新安裝伺服器映像,或建立具有相同詳細數據的新伺服器(例如計算機名稱)。 如果您未從 Microsoft Entra 連線 Health 入口網站移除已註冊的伺服器,而且您在新的伺服器上安裝了代理程式,您可能會看到兩個專案具有相同名稱。
在此情況下,請手動刪除屬於較舊伺服器的專案。 此伺服器的數據應該已過期。
我可以在 Windows Server Core 上安裝 Microsoft Entra 連線 Health 代理程式嗎?
否。 不支援在 Server Core 上安裝。
健康情況代理程式註冊和數據新鮮度
健康情況代理程式註冊失敗的常見原因為何,以及如何針對問題進行疑難解答?
健康情況代理程式可能會因為下列可能的原因而無法註冊:
- 代理程式無法與必要的端點通訊,因為防火牆封鎖流量。 此問題在 Web 應用程式 Proxy 伺服器上很常見。 請確定您已允許對必要端點和埠進行輸出通訊。 如需詳細資訊,請參閱需求一節。
- 輸出通訊會受到網路層的 TLS 檢查。 這會導致代理程式用來由檢查伺服器/實體取代的憑證,而完成代理程式註冊的步驟會失敗。
- 用戶沒有執行代理程式註冊的存取權。 全域管理員預設具有存取權。 您可以使用 Azure 角色型存取權 委派給其他使用者。
我收到「健全狀況服務 數據不是最新狀態」的警示。 如何? 針對問題進行疑難解答?
Microsoft Entra 連線 Health 會在過去兩小時內未從伺服器收到所有數據點時產生警示。 閱讀更多內容。
作業問題
我需要在 Web 應用程式 Proxy 伺服器上啟用稽核嗎?
否,不需要在 Web 應用程式 Proxy 伺服器上啟用稽核。
如何解決 Microsoft Entra 連線 健全狀況警示?
Microsoft Entra 連線 健康情況警示會在成功狀況下解決。 Microsoft Entra 連線 Health Agents 會定期偵測並回報服務的成功狀況。 針對一些警示,隱藏是以時間為基礎。 換句話說,如果在警示產生后的 72 小時內未觀察到相同的錯誤狀況,則會自動解決警示。
我收到「測試驗證要求(綜合交易)無法取得令牌」的警示。 如何? 針對問題進行疑難解答?
Microsoft Entra 連線 HEALTH for AD FS 會在 AD FS 伺服器上安裝健全狀況代理程式無法取得令牌作為健康情況代理程式起始之綜合交易的一部分時產生此警示。 Health 代理程式會使用本機系統內容,並嘗試取得自我信賴憑證者的令牌。 此行為是一項攔截式測試,可確保AD FS處於發行令牌的狀態。
此測試最常失敗,因為健康情況代理程式無法解析 AD FS 伺服器陣變數名稱。 如果 AD FS 伺服器位於網路負載平衡器後方,而且要求會從負載平衡器後方的節點起始(而不是負載平衡器前面的一般用戶端),就會發生此狀態。 藉由更新位於 「C:\Windows\System32\drivers\etc」 下的 “hosts” 檔案,以包含 AD FS 伺服器的 IP 位址或 AD FS 伺服器回送 IP 位址 sts.contoso.com (127.0.0.0.1),即可修正此問題。 新增主機檔案會縮短網路呼叫的線路,讓健康情況代理程式取得令牌。
我收到一封電子郵件,指出我的機器未針對最近的勒索軟體攻擊進行修補。 為什麼我收到此電子郵件?
Microsoft Entra 連線 Health 服務會掃描它監視的所有機器,以確保已安裝必要的修補程式。 如果至少有一部計算機沒有重大修補程式,則電子郵件會傳送給租用戶系統管理員。 下列邏輯可用來進行此判斷。
- 尋找電腦上安裝的所有 Hotfix。
- 檢查已定義清單中的至少有一個 HotFixes 存在。
- 如果為 [是],則計算機會受到保護。 如果不是,計算機就會面臨攻擊的風險。
您可以使用下列 PowerShell 腳本手動執行這項檢查。 它會實作上述邏輯。
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
為什麼 PowerShell Cmdlet 'Get-MsolDirSyncProvisioningError' 在結果中顯示較少的同步錯誤?
Get-MsolDirSyncProvisioningError 只會傳回 DirSync 布建錯誤。 連線 Health 入口網站也會顯示其他同步錯誤類型,例如匯出錯誤。 深入瞭解 Microsoft Entra 連線 同步錯誤。
為什麼我的 AD FS 稽核未產生?
請使用 PowerShell Cmdlet Get-AdfsProperties -AuditLevel 來確保稽核記錄未處於停用狀態。 深入瞭解 AD FS 稽核記錄。 請注意,如果有進階稽核設定推送至 AD FS 伺服器,則會覆寫具有auditpol.exe的任何變更(如果未設定應用程式產生的事件)。 在此情況下,請將本機安全策略設定為記錄應用程式產生的失敗和成功。
代理程序憑證何時會在到期前自動更新?
代理程序認證將在到期日前 6 個月自動更新。 如果未更新,請確定代理程式的網路連線穩定。 重新啟動代理程式服務或更新至最新版本,也可能會解決此問題。