Microsoft Entra Connect Health 常見問題集

若要在不同的 Microsoft Entra 租用戶之間切換，請在右上角選取目前登入的 [使用者名稱]，然後選擇適當的帳戶。 如果此處未列出帳戶，請選取 [登出]。接下來，使用已啟用 Microsoft Entra ID P1 或 P2 (P1 或 P2) 的目錄全域管理認證來登入。

下表列出各角色與支援的作業系統版本。

不支援安裝 Windows Server Core。

服務所提供的功能可能會因為角色和作業系統而有所不同， 並非所有作業系統版本都能使用所有功能。 如需詳細資料，請參閱功能描述。

• 第一個 Connect Health 代理程式至少需要一個 Microsoft Entra P1 或 P2 授權。
• 每增加一個註冊代理程式，就需要 25 個以上的 Microsoft Entra P1 或 P2 授權。
• 代理程式計數等於所有受監視角色 (AD FS、Microsoft Entra Connect 及/或 AD DS) 的註冊代理程式總數。
• Microsoft Entra Connect Health 授權不必對特定使用者指派授權。 您只需具有必要數量的有效授權即可。

您也可以在 Microsoft Entra 定價頁面找到授權資訊。

範例：

是，當代理程式有新版本時，所有代理程式都會自動更新。

否，自動升級是強制項目。 如果您不想在發行新版本時升級代理程式，請解除安裝代理程式。

安裝 Microsoft Entra Connect Health 代理程式、AD FS、Web 應用程式 Proxy 伺服器、Microsoft Entra Connect (同步處理) 伺服器、網域控制站，對於 CPU、記憶體使用量、網路頻寬和儲存體的影響非常小。

以下的數字是近似值：

• CPU 使用量：增加約 1-5%。
• 記憶體使用量：最多 10% 的系統總記憶體。

• Microsoft Entra Connect Health 代理程式的本機緩衝存放區：約 20 MB。
• 對於 AD FS 伺服器，建議您為 AD FS 稽核通道佈建 1024 MB (1 GB) 的磁碟空間，Microsoft Entra Connect Health 代理程式才能在所有稽核資料遭到覆寫前加以處理。

否。 安裝代理程式不需要您重新啟動伺服器。 不過，安裝某些先決條件的步驟可能需要重新啟動伺服器。

例如，安裝 .NET 4.6.2 Framework 可能需要重新啟動伺服器。

是。 對於進行中的作業，您可以將 Health 代理程式設定為使用 HTTP Proxy 來轉送輸出 HTTP 要求。 深入了解設定 Health 代理程式的 HTTP Proxy。

如果需要在代理程式註冊期間設定 Proxy，您可能需要預先修改 Internet Explorer 的 Proxy 設定。

1. 開啟 Internet Explorer >[設定]>[網際網路選項]>[連線]>[LAN 設定]。
2. 選取 [在您的 LAN 使用 Proxy 伺服器]。
3. 如果您有不同的 Proxy 連接埠供 HTTP 和 HTTPS/安全使用，請選取 [進階]。

否。 目前不支援為基本驗證指定任意使用者名稱和密碼的機制。

請參閱＜需求＞一節，以取得防火牆連接埠清單與其他的連線需求。

當您從伺服器移除代理程式時，系統不會自動從 Microsoft Entra Connect Health 入口網站移除該伺服器。 如果您以手動方式從伺服器移除代理程式，或移除伺服器本身，就需要以手動方式從 Microsoft Entra Connect Health 入口網站中刪除伺服器項目。 若要從 Microsoft Entra Connect Health 刪除受監視的伺服器，您必須擁有 Microsoft Entra 全域管理員帳戶權限，或 Azure 角色型存取控制中的參與者角色。

您可能會重新安裝伺服器的映像，或以相同的細節 (例如機器名稱) 建立新的伺服器。 如果您並未從 Microsoft Entra Connect Health 入口網站移除已經註冊的伺服器，並在新伺服器上安裝代理程式，則可能會看到兩個同名的項目。

在此情況下，請手動刪除屬於舊伺服器的項目。 此伺服器的資料應該已過時。

否。 不支援在 Server Core 上安裝。

若要安裝 Connect Health for Sync Agent，您必須是全域管理員。 若要啟用代理程式，您必須使用全域管理員帳戶重新安裝代理程式。

Health 代理程式會因下列可能的原因而無法註冊：

• 由於防火牆封鎖流量，代理程式無法與所需端點通訊。 此問題在 Web 應用程式 Proxy 伺服器上很常見。 請確定您已允許與所需端點和連接埠進行輸出通訊。 若要了解詳細資訊，請參閱＜需求＞一節。
• 輸出通訊會在網路層受到 TLS 檢查。 這會導致代理程式所使用的證書遭到檢查伺服器/實體所取代，完成代理程式註冊的步驟便會失敗。
• 使用者無法執行代理程式註冊。 根據預設，全域管理員可以執行代理程式註冊。 您可以使用 Azure 角色型存取控制 (Azure RBAC) 將存取權委派給其他使用者。

當 Microsoft Entra Connect Health 在過去 2 小時沒有從伺服器收到所有資料點，就會產生此警示。 深入了解。

否，不需要在 Web 應用程式 Proxy 伺服器上啟用稽核。

Microsoft Entra Connect Health 警示會在成功情況下獲得解決。 Microsoft Entra Connect Health 代理程式會定期偵測成功情況，並向服務報告。 對於少數幾個警示，歸併是以時間為基礎的。 也就是說，如果在警示產生的 72 小時內未觀察到相同的錯誤狀況，就會自動解決警示。

在 Health 代理程式啟動的綜合交易期間，AD FS 伺服器上安裝的 Health 代理程式無法取得權杖時，適用於 AD FS 的 Microsoft Entra Connect Health 就會產生此警示。 Health 代理程式使用本機系統內容，並會嘗試取得自我信賴憑證者的權杖。 此行為是全方位測試，以確保 AD FS 處於發行權杖的狀態。

這項測試經常失敗，因為 Health 代理程式無法解析 AD FS 伺服器陣列名稱。 如果 AD FS 伺服器受到網路負載平衡器保護，並且從受到負載平衡器保護的節點發起要求 (而非不受負載平衡器保護的一般用戶端)，就可能會造成此狀態。 更新 C:\Windows\System32\drivers\etc 下的 "hosts" 檔案，使其包含 AD FS 伺服器的 IP 位址或 AD FS 伺服器陣列名稱 (例如 sts.contoso.com) 的 Loopback IP 位址 (127.0.0.1)，即可修正此問題。 新增主機檔案會使網路呼叫短路，如此可讓 Health 代理程式取得權杖。

Microsoft Entra Connect Health 服務已掃描所有已監視的機器，確保已安裝必要的修補程式。 如果有一台機器 (最低限度) 沒有重大修補程式，則會將電子郵件傳送給租用戶管理員。 下列邏輯用於做出此判定。

1. 尋找機器上安裝的所有 Hotfix。
2. 檢查定義的清單中是否有至少一個 Hotfix。
3. 如果有，則機器受到保護。 如果沒有，則機器會有受攻擊的風險。

您可以使用下列 PowerShell 指令碼手動執行這項檢查。 它會實作上述邏輯。

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError 只會傳回 DirSync 佈建錯誤。 Connect Health 入口網站也會顯示其他同步錯誤類型，例如匯出錯誤。 深入了解 Microsoft Entra Connect 同步錯誤。

請使用 PowerShell Cmdlet "Get-AdfsProperties -AuditLevel" 以確保稽核記錄不是處於停用狀態。 深入了解 AD FS 稽核記錄。 請注意，若系統將稽核設定推送至 AD FS 伺服器，則 auditpol.exe 的任何變更將會被覆寫 (即使並未設定產生的應用程式)。 在此情況下，請將本機安全性原則設定為記錄應用程式產生的失敗和成功項目。

代理程式認證會在期間屆滿日前的 6 個月自動更新。 如果未更新，請確定代理程式的網路連線穩定。 重新啟動代理程式服務或更新至最新版本也可以解決此問題。

相關連結

• Microsoft Entra Connect Health
• Microsoft Entra Connect Health 代理程式安裝
• Microsoft Entra Connect Health 作業
• 搭配 AD FS 使用 Microsoft Entra Connect Health
• 使用 Microsoft Entra Connect Health 進行同步處理
• 搭配 AD DS 使用 Microsoft Entra Connect Health
• Microsoft Entra Connect Health 版本歷程記錄