Microsoft Entra Connect Health에 대한 질문과 대답

오른쪽 위 모서리에 있는 현재 로그인한 사용자 이름을 선택하고 적절한 계정을 선택하면 여러 Microsoft Entra 테넌트 간에 전환할 수 있습니다. 계정이 여기에 나열되어 있지 않으면 로그아웃을 선택합니다. 그런 다음, Microsoft Entra ID P1 또는 P2(P1 또는 P2)를 사용하도록 설정된 디렉터리의 전역 관리자 자격 증명을 사용하여 로그인합니다.

다음 테이블에는 역할 및 지원되는 운영 체제 버전이 나열되어 있습니다.

Windows Server Core 설치는 지원되지 않습니다.

서비스에서 제공하는 기능은 역할 및 운영 체제에 따라 다를 수 있습니다. 운영 체제 버전에 따라 일부 기능이 제공되지 않을 수도 있습니다. 자세한 내용은 기능 설명을 참조하세요.

• 첫 번째 Connect Health Agent에는 하나 이상의 Microsoft Entra P1 또는 P2 라이선스가 필요합니다.
• 추가로 등록된 각 에이전트에는 Microsoft Entra P1 또는 P2 라이선스가 25개 더 필요합니다.
• 에이전트 수는 모니터링되는 모든 역할(AD FS, Microsoft Entra Connect 및/또는 AD DS)에 등록된 총 에이전트 수와 같습니다.
• Microsoft Entra Connect Health 라이선싱에서는 특정 사용자에게 라이선스를 할당할 필요가 없습니다. 필요한 수의 유효한 라이선스만 있으면 됩니다.

라이선스 정보는 Microsoft Entra 가격 책정 페이지에서도 확인할 수 있습니다.

예시:

예, 에이전트의 새 버전이 있는 경우 모든 에이전트가 자동으로 업데이트됩니다.

아니요, 자동 업그레이드는 필수입니다. 새 버전이 릴리스될 때 에이전트를 업그레이드하지 않으려면 에이전트를 제거해야 합니다.

Microsoft Entra Connect Health 에이전트, AD FS, 웹 애플리케이션 프록시 서버, Microsoft Entra Connect(sycn) 서버, 도메인 컨트롤러를 설치해도 CPU, 메모리 사용량, 네트워크 대역폭 및 스토리지에는 최소한의 영향만 미칩니다.

다음 숫자는 근사값입니다.

• CPU 사용량: 1-5% 증가
• 메모리 사용량: 전체 시스템 메모리의 최대 10%

• Microsoft Entra Connect Health 에이전트용 로컬 버퍼 스토리지: 20MB 이하.
• AD FS 서버의 경우 모든 감사 데이터를 덮어쓰기 전에 처리할 수 있도록 Microsoft Entra Connect Health 에이전트의 AD FS 감사 채널용으로 1,024MB(1GB)의 디스크 공간을 프로비전하는 것이 좋습니다.

아니요. 에이전트를 설치하는 데 서버를 재부팅할 필요는 없습니다. 그러나 일부 필수 구성 요소 설치 단계에서 서버를 재부팅해야 할 수 있습니다.

예를 들어 .NET 4.6.2 Framework를 설치하려면 서버를 다시 부팅해야 할 수 있습니다.

예. 진행 중인 작업의 경우 HTTP 프록시를 사용하여 아웃바운드 http 요청을 전달하도록 Health Agent를 구성할 수 있습니다. Health 에이전트에 대한 HTTP 프록시 구성을 자세히 읽어보세요.

에이전트를 등록하는 동안 프록시를 구성해야 하는 경우 Internet Explorer 프록시 설정을 미리 수정해야 할 수도 있습니다.

1. Internet Explorer >설정>인터넷 옵션>연결>LAN 설정으로 이동합니다.
2. 사용자 LAN의 프록시 서버 사용을 선택합니다.
3. HTTP 및 HTTPS/보안의 프록시 포트가 다른 경우 고급을 선택합니다.

아니요. 기본 인증에 필요한 임의 사용자 이름/암호를 지정하는 메커니즘은 현재 지원되지 않습니다.

방화벽 포트 및 기타 연결 요구 사항 목록은 요구 사항 섹션을 참조하세요.

서버에서 에이전트를 제거해도 해당 서버가 Microsoft Entra Connect Health 포털에서 자동으로 제거되지 않습니다. 서버에서 에이전트를 수동으로 제거하거나 서버 자체를 제거한 경우 Microsoft Entra Connect Health 포털에서 서버 항목을 수동으로 삭제해야 합니다. Microsoft Entra Connect Health에서 모니터링되는 서버를 삭제하려면 Microsoft Entra 전역 관리자 계정 권한 또는 Azure 역할 기반 액세스 제어의 기여자 역할이 있어야 합니다.

서버를 이미지로 다시 설치하거나 같은 세부 정보(예: 컴퓨터 이름)를 사용하여 새 서버를 만들 수 있습니다. Microsoft Entra Connect Health 포털에서 이미 등록된 서버를 제거하지 않고 새 서버에 에이전트를 설치하면 이름이 같은 두 개의 항목이 표시될 수 있습니다.

이 경우 이전 서버에 소속된 항목을 수동으로 삭제해야 합니다. 이 서버에 대한 데이터는 오래된 정보입니다.

아니요. Server Core에서의 설치는 지원되지 않습니다.

Health Agent는 다음과 같은 원인으로 등록에 실패할 수 있습니다.

• 방화벽이 트래픽을 차단하고 있어서 에이전트가 필수 엔드포인트와 통신할 수 없습니다. 웹 애플리케이션 프록시 서버에서 자주 발생하는 문제입니다. 필수 엔드포인트 및 포트에 아웃바운드 통신을 허용해야 합니다. 자세한 내용은 요구 사항 섹션을 참조하세요.
• 아웃바운드 통신은 네트워크 계층에서 TLS 검사를 거쳐야 합니다. 이로 인해 에이전트에서 사용하는 인증서가 검사 서버/엔터티로 교체되고, 에이전트 등록을 완료하는 단계가 실패합니다.
• 사용자에게 에이전트의 등록을 수행하기 위한 액세스 권한이 없습니다. 전역 관리자는 기본적으로 액세스 권한이 있습니다. Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 다른 사용자에게 액세스 권한을 위임할 수 있습니다.

Microsoft Entra Connect Health는 최근 2시간 동안 서버에서 데이터 포인트를 수신하지 않으면 이 경고를 생성합니다. 자세히 알아보세요.

아니요, 웹 애플리케이션 프록시 서버에서 감사를 사용할 필요가 없습니다.

Microsoft Entra Connect Health 경고는 성공 조건에서 해결됩니다. Microsoft Entra Connect Health 에이전트는 성공 조건을 주기적으로 검색하고 서비스에 보고합니다. 일부 경고의 경우 시간을 기준으로 경고가 제거됩니다. 즉, 동일한 오류 조건이 경고 생성으로부터 72시간 내에 관찰되지 않으면 경고가 자동으로 해결됩니다.

AD FS용 Microsoft Entra Connect Health는 AD FS 서버에 설치된 상태 에이전트가 상태 에이전트에서 시작되는 가상 트랜잭션의 일부로 토큰을 가져오는 데 실패한 경우 이 경고를 생성합니다. 상태 에이전트는 로컬 시스템 컨텍스트를 사용하고 자체 신뢰 당사자에 대한 토큰을 가져오려고 합니다. 이 동작은 AD FS가 토큰을 발급 중인 상태인지 확인하는 범용 테스트입니다.

종종 이 테스트는 상태 에이전트가 AD FS 팜 이름을 확인할 수 없기 때문에 실패합니다. 이 상태는 AD FS 서버가 네트워크 부하 분산 장치 뒤에 있고, 요청이 부하 분산 장치 앞에 있는 일반 클라이언트와 달리 부하 분산 장치 뒤에 있는 노드에서 시작하는 경우 발생할 수 있습니다. 이 문제는 AD FS 팜 이름(예: sts.contoso.com)에 대해 AD FS 서버의 IP 주소 또는 루프백 IP 주소(127.0.0.1)를 포함하도록 "C:\Windows\System32\drivers\etc" 아래에 있는 "hosts" 파일을 업데이트하여 해결할 수 있습니다. 호스트 파일을 추가하면 네트워크 호출을 단락(short-circuit)하므로 상태 에이전트에서 토큰을 가져올 수 있도록 합니다.

Microsoft Entra Connect Health 서비스는 필요한 패치가 설치되었는지 확인하기 위해 모니터링하는 모든 컴퓨터를 검색했습니다. 하나 이상의 컴퓨터에 중요한 패치가 없는 경우 테넌트 관리자에게 전자 메일이 전송되었습니다. 이를 결정하기 위해 다음 논리가 사용되었습니다.

1. 컴퓨터에 설치된 모든 핫픽스를 찾습니다.
2. 정의된 목록에서 핫픽스 중 하나 이상이 있는지 확인합니다.
3. 있는 경우 컴퓨터가 보호되고 있습니다. 그렇지 않은 경우 컴퓨터가 공격에 대해 위험에 노출됩니다.

다음 PowerShell 스크립트를 사용하여 이 검사를 수동으로 수행할 수 있습니다. 위의 논리를 구현합니다.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError는 DirSync 프로비전 오류를 반환합니다. 뿐만 아니라 Connect Health 포털에는 내보내기 오류와 같은 다른 동기화 오류 형식이 표시됩니다. Microsoft Entra Connect 동기화 오류에 대해 자세히 알아봅니다.

PowerShell cmdlet Get-AdfsProperties -AuditLevel을 사용하여 감사 로그가 사용하지 않음 상태가 되도록 합니다. AD FS 감사 로그에 대해 자세히 알아보세요. AD FS 서버에 푸시된 고급 감사 설정이 있을 경우 auditpol.exe 관련 변경 내용이 덮어써진다는 점을 참고하세요(애플리케이션 생성됨이 구성되지 않은 경우). 이 경우 애플리케이션 생성됨 실패 및 성공을 로그하도록 로컬 보안 정책을 설정하세요.

에이전트 인증은 만료일 6개월 전에 자동으로 갱신됩니다. 갱신되지 않은 경우 에이전트의 네트워크 연결이 안정적인지 확인하세요. 에이전트 서비스를 다시 시작하거나 최신 버전으로 업데이트하면 문제가 해결될 수도 있습니다.

관련 링크

• Microsoft Entra Connect Health
• Microsoft Entra Connect Health 에이전트 설치
• Microsoft Entra Connect Health 작업
• AD FS와 함께 Microsoft Entra Connect Health 사용
• 동기화에 Microsoft Entra Connect Health 사용
• AD DS와 함께 Microsoft Entra Connect Health 사용
• Microsoft Entra Connect 상태 버전 기록