Share via

Instalace agentů služby Microsoft Entra Připojení Health

  • Článek

V tomto článku se dozvíte, jak nainstalovat a nakonfigurovat agenty služby Microsoft Entra Připojení Health.

Zjistěte, jak stáhnout agenty.

Poznámka:

Microsoft Entra Připojení Health není k dispozici v suverénním cloudu Číny.

Požadavky

Následující tabulka uvádí požadavky na používání služby Microsoft Entra Připojení Health:

Požadavek Popis
Máte předplatné Microsoft Entra ID P1 nebo P2. Microsoft Entra Připojení Health je funkce Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Registrace k Microsoft Entra ID P1 nebo P2.

Pokud chcete začít používat bezplatnou 30denní zkušební verzi, přečtěte si článek o tom, jak začít se zkušební verzí.
Jste globálním správcem v Microsoft Entra ID. V současné době můžou instalovat a konfigurovat agenty stavu pouze globální účty Správa istrator. Další informace najdete v tématu Správa stering vašeho adresáře Microsoft Entra.

Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete ostatním uživatelům ve vaší organizaci povolit přístup ke službě Microsoft Entra Připojení Health. Další informace najdete v tématu Azure RBAC pro Microsoft Entra Připojení Health.

Důležité: K instalaci agentů použijte pracovní nebo školní účet. K instalaci agentů nemůžete použít účet Microsoft. Další informace najdete v tématu Registrace do Azure jako organizace.
Agent Microsoft Entra Připojení Health se nainstaluje na každý cílový server. Agenti stavu musí být nainstalovaní a nakonfigurovaní na cílových serverech, aby mohli přijímat data a poskytovat funkce monitorování a analýzy.

Pokud například chcete získat data z infrastruktury Active Directory Federation Services (AD FS) (AD FS), musíte agenta nainstalovat na server SLUŽBY AD FS a na server webového proxy aplikací. Podobně platí, že pokud chcete získat data z místní infrastruktury služby AD Domain Services, musíte agenta nainstalovat na řadiče domény.
Koncové body služby Azure mají odchozí připojení. Během instalace a modulu runtime agent vyžaduje připojení ke koncovým bodům služby Microsoft Entra Připojení Health. Pokud brány firewall blokují odchozí připojení, přidejte koncové body odchozího připojení do seznamu povolených .
Odchozí připojení je založené na IP adresách. Informace o filtrování brány firewall na základě IP adres najdete v tématu Rozsahy IP adres Azure.
Kontrola protokolu TLS pro odchozí provoz se filtruje nebo zakáže. Pokud v síťové vrstvě dojde k kontrole nebo ukončení odchozího provozu protokolu TLS, může selhat krok registrace agenta nebo operace nahrávání dat. Další informace najdete v tématu Nastavení kontroly protokolu TLS.
Na serveru jsou spuštěné porty brány firewall. Agent vyžaduje otevření následujících portů brány firewall, aby mohl komunikovat s koncovými body služby Microsoft Entra Připojení Health Service:
– Port TCP 443
– Port TCP 5671

Nejnovější verze agenta nevyžaduje port 5671. Upgradujte na nejnovější verzi, aby se vyžadoval pouze port 443. Další informace najdete v tématu Porty a protokoly vyžadované hybridní identitou.
Pokud je povolené rozšířené zabezpečení Internet Exploreru, povolte zadané weby. Pokud je povolené rozšířené zabezpečení Internet Exploreru, povolte na serveru, na kterém agenta instalujete, následující weby:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
– Federační server vaší organizace, který je důvěryhodný pro Microsoft Entra ID (například https://sts.contoso.com).

Další informace naleznete v tématu Postup konfigurace aplikace Internet Explorer. Pokud máte v síti proxy server, podívejte se na poznámku, která se zobrazí na konci této tabulky.
Je nainstalovaný PowerShell verze 5.0 nebo novější. Windows Server 2016 obsahuje PowerShell verze 5.0.

Důležité

Windows Server Core nepodporuje instalaci agenta Microsoft Entra Připojení Health.

Poznámka:

Pokud máte vysoce uzamčené a omezené prostředí, musíte přidat více adres URL než adresy URL seznamů tabulek pro rozšířené zabezpečení Internet Exploreru. Přidejte také adresy URL uvedené v tabulce v další části.

Nové verze agenta a automatický upgrade

Pokud je vydána nová verze agenta stavu, všechny existující nainstalované agenty se automaticky aktualizují.

Odchozí připojení ke koncovým bodům služby Azure

Během instalace a modulu runtime potřebuje agent připojení ke koncovým bodům služby Microsoft Entra Připojení Health. Pokud brány firewall blokují odchozí připojení, ujistěte se, že adresy URL v následující tabulce nejsou ve výchozím nastavení blokované.

Nezakazujte monitorování zabezpečení ani kontrolu těchto adres URL. Místo toho je povolte stejně, jako byste povolili jiný internetový provoz.

Tyto adresy URL umožňují komunikaci s koncovými body služby Microsoft Entra Připojení Health. Dále v tomto článku se dozvíte, jak pomocí Test-MicrosoftEntraConnectHealthConnectivitynástroje .

Doménové prostředí Požadované koncové body služby Azure
Obecná veřejnost - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net – Port: 5671 (pokud je blokovaný 5671, agent se vrátí zpět na 443, ale doporučujeme použít port 5671. Tento koncový bod se nevyžaduje v nejnovější verzi agenta.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Tento koncový bod se používá pouze pro účely zjišťování během registrace.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Tento koncový bod se používá pouze pro účely zjišťování během registrace.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Stažení agentů

Stažení a instalace agenta Microsoft Entra Připojení Health:

Instalace agenta pro službu AD FS

Informace o instalaci a monitorování služby AD FS pomocí agenta služby Microsoft Entra Připojení Health naleznete v tématu Microsoft Entra Připojení Health agents for AD FS.

Instalace agenta pro synchronizaci

Agent služby Microsoft Entra Připojení Health pro synchronizaci se instaluje automaticky v nejnovější verzi Připojení Microsoft Entra. Pokud chcete používat Microsoft Entra Připojení pro synchronizaci, stáhněte si nejnovější verzi microsoft Entra Připojení a nainstalujte ji.

Pokud chcete ověřit, že je agent nainstalovaný, vyhledejte na serveru následující služby. Pokud jste konfiguraci dokončili, měly by už být spuštěné služby. V opačném případě se služby zastaví, dokud se konfigurace neskončí.

  • Microsoft Entra Připojení Agent Updater
  • Microsoft Entra Připojení Health Agent

Snímek obrazovky znázorňující spuštěnou službu Microsoft Entra Připojení Health pro synchronizační služby na serveru

Poznámka:

Mějte na paměti, že pokud chcete používat Microsoft Entra Připojení Health, musíte mít Microsoft Entra ID P1 nebo P2. Pokud nemáte Microsoft Entra ID P1 nebo P2, nemůžete konfiguraci dokončit v Centru pro správu Microsoft Entra. Další informace najdete v požadavcích.

Ruční registrace služby Microsoft Entra Připojení Health pro synchronizaci

Pokud se registrace agenta synchronizace microsoft Entra Připojení Health po úspěšné instalaci nástroje Microsoft Entra Připojení nezdaří, můžete agenta zaregistrovat ručně pomocí příkazu PowerShellu.

Důležité

Tento příkaz PowerShellu použijte pouze v případě, že se registrace agenta nezdaří po instalaci Připojení Microsoft Entra.

Pomocí následujícího příkazu PowerShellu ručně zaregistrujte agenta služby Microsoft Entra Připojení Health pro synchronizaci. Služby Microsoft Entra Připojení Health se spustí po úspěšném zaregistrování agenta.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Příkaz přijímá následující parametry:

  • AttributeFiltering: $true (výchozí) pokud Microsoft Entra Připojení nesynchronizuje výchozí sadu atributů a byl upraven tak, aby používal filtrovanou sadu atributů. V opačném případě použijte $false.
  • StagingMode: $false (výchozí) pokud server Microsoft Entra Připojení není v pracovním režimu. Pokud je server nakonfigurovaný tak, aby byl v pracovním režimu, použijte $true.

Když se zobrazí výzva k ověření, použijte stejný účet Globální Správa istrator (napříkladadmin@domain.onmicrosoft.com), který jste použili ke konfiguraci microsoft Entra Připojení.

Instalace agenta pro službu AD Domain Services

Chcete-li spustit instalaci agenta, poklikejte na soubor .exe , který jste stáhli. V prvním okně vyberte Nainstalovat.

Snímek obrazovky s instalačním oknem Microsoft Entra Připojení Health pro službu AD DS

Po zobrazení výzvy se přihlaste pomocí účtu Microsoft Entra, který má oprávnění k registraci agenta. Ve výchozím nastavení má účet hybridní identity Správa istrator oprávnění.

Snímek obrazovky znázorňující přihlašovací okno služby Microsoft Entra Připojení Health AD DS

Po přihlášení se proces instalace dokončí a okno můžete zavřít.

Snímek obrazovky znázorňující potvrzovací zprávu pro instalaci agenta služby AD DS služby Microsoft Entra Připojení Health

V tomto okamžiku by se měly spustit služby agenta, aby agent mohl bezpečně nahrát požadovaná data do cloudové služby.

Pokud chcete ověřit, že byl agent nainstalovaný, vyhledejte na serveru následující služby. Pokud jste konfiguraci dokončili, měly by již být spuštěné. Jinak se zastaví, dokud se konfigurace nedokončí.

  • Microsoft Entra Připojení Agent Updater
  • Microsoft Entra Připojení Health Agent

Snímek obrazovky znázorňující služby Microsoft Entra Připojení Health AD DS

Rychlá instalace agenta na více serverů

  1. Vytvořte uživatelský účet v Microsoft Entra ID. Zabezpečte účet pomocí hesla.

  2. Pomocí portálu přiřaďte roli Vlastník pro tento místní účet Microsoft Entra ve službě Microsoft Entra Připojení Health. Přiřaďte roli všem instancím služby.

  3. Stáhněte soubor .EXE MSI v místním řadiči domény pro instalaci.

  4. Spusťte následující skript. Parametry nahraďte novým uživatelským účtem a jeho heslem.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
Start-Sleep 30
$userName = "NEWUSER@DOMAIN"
$secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
$myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"

Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds

Po dokončení můžete přístup k místnímu účtu odebrat dokončením jedné nebo několika následujících úloh:

  • Odeberte přiřazení role pro místní účet pro Microsoft Entra Připojení Health.
  • Obměňte heslo pro místní účet.
  • Zakažte místní účet Microsoft Entra.
  • Odstraňte místní účet Microsoft Entra.

Registrace agenta pomocí PowerShellu

Po instalaci příslušného souboru agenta setup.exe můžete agenta zaregistrovat pomocí následujících příkazů PowerShellu v závislosti na roli. Otevřete PowerShell jako správce a spusťte příslušný příkaz:

Register-MicrosoftEntraConnectHealthAgent

Poznámka:

Pokud se chcete zaregistrovat v suverénních cloudech, použijte následující příkazové řádky:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Tyto příkazy přijímají Credential jako parametr k dokončení registrace neinteraktivně nebo k dokončení registrace v počítači, na kterém běží jádro serveru. Mějte na paměti tyto faktory:

  • Můžete zachytit Credential proměnnou PowerShellu, která se předává jako parametr.
  • Můžete zadat jakoukoli identitu Microsoft Entra, která má oprávnění k registraci agentů a která nemá povolené vícefaktorové ověřování.
  • Globální správci mají ve výchozím nastavení oprávnění k registraci agentů. Tento krok můžete také povolit méně privilegovaným identitám. Další informace najdete v tématu Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Konfigurace agentů služby Microsoft Entra Připojení Health pro použití proxy serveru HTTP

Agenty služby Microsoft Entra Připojení Health můžete nakonfigurovat tak, aby fungovaly s proxy serverem HTTP.

Poznámka:

  • Netsh WinHttp set ProxyServerAddress není podporováno. Agent používá k provádění webových požadavků System.Net místo služeb HTTP systému Windows.
  • Nakonfigurovaná adresa proxy serveru HTTP se používá k předávání šifrovaných zpráv HTTPS.
  • Ověřené proxy servery (pomocí HTTPBasic) se nepodporují.

Změna konfigurace proxy agenta

Pokud chcete nakonfigurovat agenta Microsoft Entra Připojení Health tak, aby používal proxy server HTTP, můžete:

  • Import existujících nastavení proxy serveru
  • Zadejte adresy proxy ručně.
  • Vymažte existující konfiguraci proxy serveru.

Poznámka:

Chcete-li aktualizovat nastavení proxy serveru, musíte restartovat všechny služby agenta služby Microsoft Entra Připojení Health. Pokud chcete restartovat všechny agenty, spusťte následující příkaz:

Restart-Service AzureADConnectHealthAgent*

Import existujících nastavení proxy serveru

Nastavení proxy serveru HTTP aplikace Internet Explorer můžete importovat tak, aby agenti služby Microsoft Entra Připojení Health mohli tato nastavení používat. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Nastavení proxy serveru WinHTTP můžete importovat tak, aby je mohli používat agenti služby Microsoft Entra Připojení Health. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ruční zadání proxy adres

Proxy server můžete zadat ručně. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Tady je příklad:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

V tomto příkladu:

  • Nastavení address může být název serveru dns přeložitelný nebo adresa IPv4.
  • Můžete vynechat port. Pokud ano, 443 je výchozím portem.

Vymazání stávající konfigurace proxy serveru

Existující konfiguraci proxy serveru můžete vymazat spuštěním následujícího příkazu:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Čtení aktuálního nastavení proxy serveru

Aktuální nastavení proxy serveru můžete přečíst spuštěním následujícího příkazu:

Get-MicrosoftEntraConnectHealthProxySettings

Testování připojení ke službě Microsoft Entra Připojení Health

Někdy agent Microsoft Entra Připojení Health ztratí připojení ke službě Microsoft Entra Připojení Health. Příčiny této ztráty připojení můžou zahrnovat problémy se sítí, problémy s oprávněními a různé další problémy.

Pokud agent nemůže odesílat data do služby Microsoft Entra Připojení Health po dobu delší než dvě hodiny, zobrazí se na portálu následující výstraha: Data služby Health Service nejsou aktuální.

Spuštěním následujícího příkazu PowerShellu zjistíte, jestli ovlivněný agent služby Microsoft Entra Připojení Health může nahrát data do služby Microsoft Entra Připojení Health:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parametr Role aktuálně přebírá následující hodnoty:

  • ADFS
  • Sync
  • ADDS

Poznámka:

Pokud chcete použít nástroj pro připojení, musíte nejprve zaregistrovat agenta. Pokud registraci agenta nemůžete dokončit, ujistěte se, že splňujete všechny požadavky pro Microsoft Entra Připojení Health. Připojení ivity se ve výchozím nastavení testuje během registrace agenta.

Další kroky

Projděte si následující související články: