Perguntas frequentes sobre o Microsoft Entra Connect Health

Este artigo inclui respostas para perguntas frequentes sobre monitoramento e integridade do Microsoft Entra Connect Health. Essas perguntas frequentes abordam perguntas sobre como usar o serviço, o que inclui o modelo de cobrança, os recursos, as limitações e o suporte.

Perguntas gerais

Eu gerencio vários diretórios do Microsoft Entra. Como eu alterno para aquele que tem o Microsoft Entra ID P1 ou P2?

Para alternar entre diferentes locatários do Microsoft Entra, selecione o Nome de Usuário conectado atualmente no canto superior direito e escolha a conta apropriada. Se a conta não estiver listada aqui, selecione Sair. Em seguida, use as credenciais de Administrador Global do diretório que tiver o Microsoft Entra P1 ou P2 (P1 ou P2) habilitado para entrar.

Qual versão das funções de identidade tem suporte do Microsoft Entra Connect Health?

A tabela a seguir lista as funções e as versões de sistema operacional com suporte.

Função Sistema Operacional/Versão
Serviços de Federação do Active Directory (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Versão 1.0.9125 ou superior
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Não há suporte para instalações do Windows Server Core.

Os recursos fornecidos pelo serviço mudam de acordo com a função e o sistema operacional. Nem todos os recursos estejam disponíveis para todas as versões de sistema operacional. Consulte as descrições de recurso para obter detalhes.

Quantas licenças são necessárias para monitorar minha infraestrutura?

  • O primeiro agente do Connect Health requer pelo menos uma licença P1 ou P2 do Microsoft Entra.
  • Cada agente registrado adicional requer mais 25 licenças P1 ou P2 do Microsoft Entra.
  • A contagem de agentes é equivalente ao número total de agentes registrados em todas as funções monitoradas (AD FS, Microsoft Entra Connect e/ou AD DS).
  • O licenciamento do Microsoft Entra Connect Health não exige que você atribua a licença para usuários específicos. Você só precisa ter o número necessário de licenças válidas.

As informações de licenciamento também são encontradas na Página de preços do Microsoft Entra.

Exemplo:

Agentes registrados Licenças necessárias Configuração de monitoramento de exemplo
1 1 Um Servidor do Microsoft Entra Connect
2 26 Um Servidor do Microsoft Entra Connect e um controlador de domínio
3 51 Um servidor dos Serviços de Federação do Active Directory (AD FS), um proxy do AD FS e um controlador de domínio
4 76 Um servidor do AD FS, um proxy do AD FS e dois controladores de domínio
5 101 Um servidor do Microsoft Entra Connect, um servidor do AD FS, um proxy AD FS e dois controladores de domínio

Perguntas sobre a instalação

Minha instalação do agentes é atualizada automaticamente quando há uma nova versão do agente?

Sim, todos os agentes serão atualizados automaticamente quando houver uma nova versão do agente.

Posso recusar ou desabilitar a atualização automática do agente?

Não, a atualização automática é obrigatória. Se você não quiser que o agente seja atualizado quando uma nova versão for lançada, desinstale o agente.

Qual é o impacto da instalação do Microsoft Entra Connect Health Agent sobre servidores individuais?

O impacto da instalação do Microsoft Entra Connect Health Agent, do AD FS, dos servidores proxy de aplicativo Web, dos servidores do Microsoft Entra Connect (sincronização) e dos controladores de domínio é mínimo em relação à CPU, ao consumo de memória, à largura de banda de rede e ao armazenamento.

Os números a seguir são uma aproximação:

  • Consumo de CPU: aumento de aproximadamente 1 a 5%.
  • Consumo de memória: até 10% da memória total do sistema.

Observação

Se o agente não pode se comunicar com o Azure, ele armazena os dados localmente para um limite máximo definido. O agente substitui os dados em "cache" de forma “atendido menos recentemente”.

  • Armazenamento em buffer local para Agentes do Microsoft Entra Connect Health: aproximadamente 20 MB.
  • Para servidores do AD FS, é recomendável que você provisione um espaço em disco de 1.024 MB (1 GB) para o canal de auditoria do AD FS, de modo que Agentes do Microsoft Entra Connect Health processem todos os dados de auditoria antes que tais dados sejam substituídos.

Será necessário reinicializar meus servidores durante a instalação dos agentes do Microsoft Entra Connect Health?

Não. A instalação dos agentes não exigirá a reinicialização do servidor. No entanto, a instalação de algumas das etapas de pré-requisito pode exigir uma reinicialização do servidor.

Por exemplo, a instalação do .NET 4.6.2 Framework pode exigir uma reinicialização do servidor.

O Microsoft Entra Connect Health funciona por meio de um proxy HTTP de passagem?

Sim. Para operações em andamento, você pode configurar o Agente de integridade para usar um proxy HTTP para encaminhar solicitações HTTP de saída. Leia mais sobre configurar HTTP Proxy para agentes de integridade.

Se precisar configurar um proxy durante o registro do agente, talvez seja necessário modificar as configurações de proxy do Internet Explorer com antecedência.

  1. Abra Internet Explorer >Configurações>Opções de Internet>Conexões>Configurações da LAN.
  2. Selecione Usar um Servidor Proxy para a LAN.
  3. Selecione Avançado se você tiver portas de proxy diferentes para HTTP e HTTPS/Seguro.

O Microsoft Entra Connect Health dá suporte à autenticação básica ao se conectar a proxies HTTP?

Não. Um mecanismo para especificar o nome de usuário/senha arbitrariamente para fins de autenticação básica não tem suporte.

Quais portas de firewall eu preciso abrir para que o Microsoft Entra Connect Health Agent funcione?

Veja a seção de requisitos para a lista de portas de firewall e outros requisitos de conectividade.

Por que vejo dois servidores com o mesmo nome no portal do Microsoft Entra Connect Health?

Quando você remove um agente de um servidor, o servidor não é automaticamente removido do portal do Microsoft Entra Connect Health. Se você remover um agente manualmente de um servidor ou remover o próprio servidor, precisará excluir manualmente a entrada do servidor no portal do Microsoft Entra Connect Health. Para excluir servidores monitorados do Microsoft Entra Connect Health, você precisa ter permissões de conta de Administrador Global ou a função Colaborador Microsoft Entra ID no controle de acesso baseado em função do Azure.

Você pode refazer a imagem de um servidor ou criar um novo servidor com os mesmo detalhes (como o nome do computador). Se você não tiver removido o servidor já registrado do portal do Microsoft Entra Connect Health e instalado o agente no novo servidor, você poderá ver duas entradas com o mesmo nome.

Nesse caso, exclua manualmente a entrada que pertence ao servidor mais antigo. Os dados para esse servidor devem estar desatualizados.

Posso instalar o agente do Microsoft Entra Connect Health no Windows Server Core?

Não. Não há suporte para a instalação no Server Core.

Depois de instalar o Microsoft Entra Connect Sync, com uma conta que tem a função de Administrador Híbrido, por que o Connect Health for Sync Agent está desabilitado nos serviços?

Para instalar o Connect Health for Sync Agent, você precisa ser um Administrador Global. Para ativar o agente, você precisa reinstalá-lo usando uma conta de administrador global.

Registro de Agente de Integridade e atualização de dados

Quais são motivos comuns para falhas de registro do Agente de Integridade e como solucionar problemas?

O agente de integridade não conseguirá registrar devido a motivos possíveis:

  • O agente não pode se comunicar com os pontos de extremidade necessários porque um firewall está bloqueando o tráfego. Esse problema é comum em servidores proxy de aplicativo Web. Cerifique de ter permitido a comunicação de saída para as portas e os pontos de extremidade necessários. Confira a seção de requisitos para obter detalhes.
  • A comunicação de saída está sujeita a uma inspeção de TLS pela camada de rede. Isso faz com que o certificado usado pelo agente seja substituído por entidade/servidor de inspeção e ocorre falha nas etapas necessárias para concluir o registro do agente.
  • O usuário não pode fazer o registro do agente. Por padrão, os Administradores Globais podem. Você pode usar o controle de acesso com base em função do Azure (Azure RBAC) para delegar acesso a outros usuários.

Estou recebendo o alerta "Os dados do Serviço de Integridade não estão atualizados." Como solucionar esse problema?

O Microsoft Entra Connect Health gera um alerta quando não recebe todos os pontos de dados do servidor por duas horas. Ler Mais.

Perguntas sobre operações

Preciso habilitar a auditoria nos servidores proxy do aplicativo Web?

Não, a auditoria não precisa estar habilitada nos servidores proxy de aplicativo Web.

Como os alertas do Microsoft Entra Connect Health são resolvidos?

Os alertas do Microsoft Entra Connect Health são resolvidos em uma condição de êxito. Os agentes do Microsoft Entra Connect Health detectam e relatam as condições de sucesso para o serviço periodicamente. Para alguns alertas, a supressão é periódica. Em outras palavras, se a mesma condição de erro não for observada no período de 72 horas a partir da geração do alerta, este será resolvido automaticamente.

Eu estou sendo alertado de que "A Solicitação de Autenticação de Teste (Transação Sintética) falhou ao obter um token." Como solucionar esse problema?

O Microsoft Entra Connect Health para AD FS gera esse alerta quando o Agente de Integridade instalado em um servidor do AD FS falha ao obter um token como parte de uma transação sintética iniciada pelo Agente de Integridade. O agente de Integridade usa o contexto do sistema local e tenta obter um token para uma terceira parte confiável própria. Esse comportamento é um teste de catch-all para garantir que o AD FS esteja em um estado de emissão de tokens.

Geralmente esse teste falha porque o Agente de Integridade não consegue resolver o nome do farm do AD FS. Esse estado poderá acontecer se os servidores do AD FS estiverem atrás de um balanceador de carga de rede e a solicitação for iniciada de um nó que esteja atrás do balanceador de carga (ao contrário de um cliente regular que está na frente do balanceador de carga). Esse problema pode ser corrigido através da atualização do arquivo "hosts" localizado em C:\Windows\System32\drivers\etc para incluir o endereço IP do servidor do AD FS ou um endereço IP de loopback (127.0.0.1) para o nome do farm do AD FS (por exemplo, sts.contoso.com). A adição do arquivo de host causará curto-circuito na chamada de rede, permitindo assim que o Agente de Integridade obtenha o token.

Recebi um email indicando que meus computadores NÃO têm patches para os ataques de ransomware recentes. Por que eu recebi esse email?

O serviço Microsoft Entra Connect Health examinou todos os computadores que ele monitora para ter certeza de que os patches necessários foram instalados. O email foi enviado aos administradores de locatário se um ou mais computadores não tinham os patches críticos. A seguinte lógica foi usada para fazer essa determinação.

  1. Localizar todos os hotfixes instalados no computador.
  2. Verificar se pelo menos um dos HotFixes da lista definida está presente.
  3. Se Sim, o computador está protegido. Se Não, o computador está correndo risco de ataque.

Você pode usar o seguinte script do PowerShell para executar essa verificação manualmente. Ele implementa a lógica acima.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Por que o cmdlet do PowerShell "Get-MsolDirSyncProvisioningError" mostra menos erros de sincronização no resultado?

O Get-MsolDirSyncProvisioningError só retornará erros de provisionamento do DirSync. O portal de Integridade de Conexão também mostra outros tipos de erros de sincronização, como erros de exportação. Saiba mais sobre os erros do Microsoft Entra Connect Sync.

Por que minhas auditorias do AD FS não estão sendo geradas?

Use o cmdlet do PowerShell Get-AdfsProperties -AuditLevel para garantir que os logs de auditoria não estejam no estado desabilitado. Leia mais sobre Logs de auditoria do AD FS. Observe que, se houver configurações de auditoria enviadas por push para o servidor do AD FS, todas as alterações com auditpol.exe serão substituídas (evento se o Aplicativo Gerado não estiver configurado). Nesse caso, defina a política de segurança local para registrar falhas e êxitos do Aplicativo Gerado.

Quando o certificado do agente será renovado automaticamente antes da expiração?

A certificação do agente será renovada automaticamente seis meses antes da data do término. Se não for renovado, verifique se a conexão de rede do agente está estável. Reiniciar os serviços de agente ou atualizar para a versão mais recente também pode resolver o problema.