Microsoft Entra Connect Health に関してよく寄せられる質問

この記事では、Microsoft Entra Connect Health に関してよく寄せられる質問 (FAQ) に回答しています。 これらの FAQ では、課金モデル、機能、制限、サポートなど、サービスの使用方法に関する質問を取り上げています。

一般的な質問

複数の Microsoft Entra ディレクトリを管理しています。 Microsoft Entra ID P1 または P2 を持つものに切り替えるにはどうすればよいですか?

異なる Microsoft Entra テナントを切り替えるには、現在サインインしているユーザー名を右上隅で選択して、適切なアカウントを選択します。 ここにアカウントが表示されていない場合は、[サインアウト] を選択します。次に、Microsoft Entra ID P1 または P2 (P1 または P2) が有効になっているディレクトリのグローバル管理者の資格情報を使用してサインインします。

Microsoft Entra Connect Health では、どのバージョンの ID の役割がサポートされていますか?

次の表は、役割と、サポートされているオペレーティング システムのバージョンの一覧です。

ロール オペレーティング システム/バージョン
Active Directory フェデレーション サービス (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect バージョン 1.0.9125 以上
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Windows Server Core インストールはサポートされていません。

サービスが提供する機能は、役割とオペレーティング システムによって異なる場合があります。 すべての機能をすべてのオペレーティング システムのバージョンで利用できるとは限りません。 詳しくは、機能の説明をご覧ください。

インフラストラクチャの監視には、いくつライセンスが必要ですか。

  • 最初の Connect Health エージェントに、少なくとも 1 つの Microsoft Entra P1 または P2 ライセンスが必要です。
  • 追加登録されるエージェントごとに、さらに 25 個の Microsoft Entra P1 または P2 ライセンスが必要です。
  • エージェントの数は、監視対象のすべての役割 (AD FS、Microsoft Entra Connect、AD DS) で登録されるエージェントの合計数に相当します。
  • Microsoft Entra Connect Health のライセンスでは、特定のユーザーにライセンスを割り当てる必要はありません。 必要な数の有効なライセンスを用意することだけが必要です。

ライセンスの情報については、Microsoft Entra の価格ページも参照してください。

例:

登録されているエージェント 必要なライセンスの数 監視構成の例
1 1 Microsoft Entra Connect サーバー × 1
2 26 Microsoft Entra Connect サーバー × 1、ドメイン コントローラー × 1
3 51 Active Directory フェデレーション サービス (AD FS) サーバー × 1、AD FS プロキシ × 1、ドメイン コントローラー × 1
4 76 AD FS サーバー × 1、AD FS プロキシ × 1、ドメイン コントローラー × 2
5 101 Microsoft Entra Connect サーバー × 1、AD FS サーバー × 1、AD FS プロキシ × 1、ドメイン コントローラー × 2

インストールに関する質問

エージェントの新しいバージョンがあるときは、使用しているエージェントが自動的に更新されますか?

はい。エージェントの新しいバージョンがあるときは、すべてのエージェントが自動的に更新されます。

エージェントの自動アップグレードをオプトアウトまたは無効にすることはできますか?

いいえ、自動アップグレードは必須です。 新しいバージョンがリリースされたときにエージェントをアップグレードしない場合は、エージェントをアンインストールする必要があります。

各サーバーに Microsoft Entra Connect Health エージェントをインストールすると、どのような影響がありますか?

Microsoft Entra Connect Health Agent、AD FS、Web アプリケーション プロキシ サーバー、Microsoft Entra Connect (同期) サーバー、ドメイン コントローラーのインストールの影響は、CPU、メモリ消費量、ネットワーク帯域幅、ストレージに関して最小限です。

おおよその数値を以下に示します。

  • CPU 消費率: 約 1 ~ 5% 上昇。
  • メモリ使用量:システム メモリ合計の最大 10%。

Note

Azure と通信できない場合、エージェントは定義済みの上限までデータをローカルに保存します。 エージェントは、"最も長く使用されていない" という基準で、"キャッシュされた" データを上書きします。

  • Microsoft Entra Connect Health エージェントのローカル バッファー記憶域: 最大 20 MB。
  • AD FS サーバーの場合、Microsoft Entra Connect Health エージェントの AD FS 監査チャネルがすべての監査データを上書き前に処理できるように、1,024 MB (1 GB) のディスク領域をプロビジョニングすることをお勧めします。

Microsoft Entra Connect Health エージェントのインストール時にサーバーを再起動する必要はありますか?

不正解です。 エージェントをインストールする場合、サーバーを再起動する必要はありません。 ただし、前提条件の一部のインストール手順では、サーバーの再起動が必要です。

たとえば、.NET 4.6.2 Framework のインストールでは、サーバーの再起動が必要になる場合があります。

Microsoft Entra Connect Health はパススルー HTTP プロキシで動作しますか?

はい。 実行中の操作については、HTTP プロキシを使用して送信 HTTP 要求を転送するように Health エージェントを構成できます。 詳しくは、Health エージェント対応の HTTP プロキシの構成に関するページをご覧ください。

エージェントの登録時にプロキシを構成する必要がある場合は、Internet Explorer のプロキシ設定を事前に変更する必要があることがあります。

  1. Internet Explorer を開いて、>[設定]>[インターネット オプション]>[接続]>[LAN の設定] の順に移動します。
  2. [LAN にプロキシ サーバーを使用する] をオンにします。
  3. HTTP と HTTPS/Secure でプロキシ ポートが異なる場合は、 [詳細設定] を選択します。

Microsoft Entra Connect Health では、HTTP プロキシに接続するときの基本認証がサポートされていますか?

不正解です。 基本認証に対して任意のユーザー名とパスワードを指定するメカニズムは、現在サポートされていません。

Microsoft Entra Connect Health エージェントを使用するには、どのファイアウォール ポートを開放すればよいですか?

ファイアウォールのポートとその他の接続要件の一覧については、「必要条件」セクションをご覧ください。

Microsoft Entra Connect Health ポータルに同じ名前のサーバーが 2 つ表示されるのはなぜですか。?

サーバーからエージェントを削除しても、サーバーは Microsoft Entra Connect Health ポータルから自動的には削除されません。 サーバーから手動でエージェントを削除したか、サーバー自体を削除した場合は、Microsoft Entra Connect Health ポータルから手動でサーバー エントリを削除する必要があります。 Microsoft Entra Connect Health から監視対象サーバーを削除するには、Microsoft Entra 全体管理者アカウントのアクセス許可、または Azure ロールベースのアクセス制御での共同作成者ロールのいずれかを持っている必要があります。

サーバーを再イメージ化したり、詳細情報 (マシン名など) が同じになっているサーバーを新規に作成したりすることがありますが、 登録済みサーバーを Microsoft Entra Connect Health ポータルから削除せずに新しいサーバーにエージェントをインストールした場合、同じ名前の 2 つのエントリが表示される可能性があります。

この場合、古いサーバーに対応するエントリを手動で削除します。 間違いなく、このサーバーのデータは古くなっています。

Microsoft Entra Connect Health エージェントを Windows Server Core にインストールできますか?

不正解です。 Server Core へのインストールはサポートされていません。

ハイブリッド管理者ロールを持つアカウントで Microsoft Entra Connect Sync をインストールした後、Connect Health for Sync エージェントがサービスで無効になっているのはなぜですか?

Connect Health for Sync エージェントをインストールするには、グローバル管理者である必要があります。 エージェントをアクティブ化するには、グローバル管理者アカウントを使用してエージェントを再インストールする必要があります。

Health エージェントの登録とデータの新しさ

Health エージェントの登録が失敗する一般的な理由と、問題をトラブルシューティングする方法を教えてください。

Health エージェントの登録は、次の理由により失敗する可能性があります。

  • ファイアウォールによってトラフィックがブロックされているため、エージェントが必要なエンドポイントと通信できません。 この問題は、Web アプリケーション プロキシ サーバーで起こりがちです。 必要なエンドポイントとポートへの発信通信が許可されていることを確認してください。 詳しくは、「必要条件」セクションをご覧ください。
  • 発信通信がネットワーク層による TLS 検査の対象になっています。 これが原因で、エージェントによって使われる証明書が検査サーバー/エンティティによって置き換えられ、エージェントの登録を完了する手順が失敗します。
  • ユーザーに、エージェントの登録を実行できません。 グローバル管理者には、デフォルトで実行できます。 Azure ロール ベースのアクセス制御 (Azure RBAC) を使って、他のユーザーにアクセスを委任できます。

"Health サービス データが最新ではありません。" というアラートが通知されます。 この問題をトラブルシューティングする方法を教えてください。

Microsoft Entra Connect Health では、過去 2 時間でサーバーから一部のデータ ポイントが送られなかったときに、このアラートが生成されます。 詳細については、こちらを参照してください。

操作に関する質問

Web アプリケーション プロキシ サーバーで監査を有効にする必要はありますか。

いいえ。Web アプリケーション プロキシ サーバーで監査を有効にする必要はありません。

Microsoft Entra Connect Health アラートは、どのように解決されますか?

Microsoft Entra Connect Health アラートは、成功条件を満たすと解決されます。 Microsoft Entra Connect Health エージェントは、定期的に成功条件を検出してサービスにレポートします。 一部のアラートは、時間に基づいて抑制されます。 つまり、アラートの生成から 72 時間以内に同じエラー条件が観察されない場合、アラートは自動的に解決されます。

"テスト認証要求 (代理トランザクション) は、トークンの取得に失敗しました。" というアラートが表示されます。 この問題をトラブルシューティングする方法を教えてください。

このアラートは、AD FS サーバーにインストールされている正常性エージェントが、正常性エージェントが開始する代理トランザクションの一環でトークンの取得に失敗した場合、Microsoft Entra Connect Health for AD FS によって生成されます。 正常性エージェントは、ローカル システムのコンテキストを使用して、自己証明書利用者のトークンを取得しようとします。 この動作は、AD FS がトークンを発行できる状態であることを確認する包括的なテストです。

このテストは多くの場合、正常性エージェントが AD FS ファーム名を解決できないために失敗します。 この状態は、AD FS サーバーがネットワーク ロード バランサーの背後にあり、要求が (ロード バランサーの前にある通常のクライアントではなく) ロード バランサーの背後にあるノードから開始された場合に発生します。 この問題は、C:\Windows\System32\drivers\etc の下にある "hosts" ファイルを AD FS サーバーの IP アドレスまたは (sts.contoso.com など) AD FS ファーム名のループバック IP アドレス (127.0.0.1) を含めるように更新すると修正できます。 ホスト ファイルを追加すると、ネットワーク呼び出しが省かれ、正常性エージェントがトークンを取得できるようになります。

最近のランサムウェア攻撃の修正プログラムが自分のコンピューターに適用されていないと記載された電子メールを受信しました。 なぜこの電子メールを受信したのですか。

Microsoft Entra Connect Health サービスでは、必要な修正プログラムがインストールされていることを確認するため、監視するすべてのコンピューターをスキャンします。 重要な修正プログラムが最低 1 台のコンピューターにインストールされていない場合、そのテナント管理者にその電子メールが送信されます。 この判断には、次のロジックが使用されます。

  1. コンピューターにインストールされているすべての修正プログラムが検索されます。
  2. 定義済み一覧にある修正プログラムが少なくとも 1 つがあることが確認されます。
  3. ある場合、マシンは保護されています。 ない場合、マシンは攻撃される可能性があります。

このチェックは、次の PowerShell スクリプトを使用して、手動で実行できます。 上記のロジックが実装されます。

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

PowerShell のコマンドレット 'Get-MsolDirSyncProvisioningError' の結果に表示される同期エラーが少ないのはなぜですか?

Get-MsolDirSyncProvisioningError では DirSync プロビジョニング エラーのみが返されます。 Connect Health ポータルには、エクスポート エラーなどの他の種類の同期エラーも表示されます。 Microsoft Entra Connect Sync エラー の詳細を確認してください。

AD FS 監査が生成されていないのはなぜですか?

Get-AdfsProperties -AuditLevel PowerShell コマンドレットを使用して、監査ログが無効な状態になっていないことを確認してください。 詳しくは、AD FS 監査ログに関する記事をご覧ください。 監査設定が AD FS サーバーにプッシュされた場合、auditpol.exe でのすべての変更が上書きされます ("生成されたアプリケーション" が構成されていない場合のイベント)。 その場合は、ローカル セキュリティ ポリシーを "生成されたアプリケーション" の失敗と成功を記録するように設定してください。

エージェント認定資格証は有効期限が切れる前に自動更新されますか?

エージェント認定資格証は、有効期限日の 6 か月前に自動更新されます。 更新されない場合は、エージェントのネットワーク接続が安定していることを確認してください。 エージェントのサービスを再起動する、または最新バージョンを更新してもこの問題を解決できる場合があります。