Instalar los agentes de Azure AD Connect Health

En este artículo, obtiene información sobre cómo instalar y configurar los agentes de Azure AD Connect Health.

Obtenga información sobre cómo descargar los agentes.

Nota

Azure AD Conectar Health no está disponible en la nube soberana de China.

Requisitos

En la tabla siguiente aparece una lista de requisitos para utilizar Azure AD Connect Health:

Requisito	Descripción
Tiene una suscripción a Azure Active Directory (Azure AD) Premium (P1 o P2).	Azure AD Connect Health es una característica de Azure AD Premium (P1 o P2). Para más información, consulte Suscripción a las ediciones Azure Active Directory Premium. Para iniciar una prueba gratis de 30 días, consulte cómo iniciar una prueba.
Es un administrador de identidad híbrida en Azure AD.	De forma predeterminada, solo los administradores de identidad híbrida y las cuentas de administrador global pueden instalar y configurar los agentes de mantenimiento, acceder al portal y realizar operaciones en Azure AD Connect Health. Para más información, consulte Administración del directorio de Azure AD. Con el control de acceso basado en rol de Azure (RBAC de Azure) puede permitir que otros usuarios de la organización accedan a Azure AD Connect Health. Para más información, consulte el artículo sobre RBAC de Azure para Azure AD Connect Health. Importante: Utilice una cuenta profesional o educativa para instalar los agentes. No puede usar una cuenta de Microsoft para instalar los agentes. Para más información, consulte Registro en Azure AD como organización.
El agente de Azure AD Connect Health está instalado en cada servidor de destino.	Los agentes de mantenimiento se deben instalar y configurar en los servidores de destino para que puedan recibir datos y proporcionar las funcionalidades de supervisión y análisis. Por ejemplo, para obtener datos de la infraestructura de Servicios de federación de Active Directory (AD FS), debe instalar el agente en el servidor de AD FS y en el servidor de Proxy de aplicación web. Del mismo modo, para obtener datos de la infraestructura de Azure Active Directory Domain Services local (Azure AD DS), debe instalar el agente en los controladores de dominio.
Los puntos de conexión del servicio de Azure tienen una conectividad de salida.	Durante la instalación y el tiempo de ejecución, el agente requiere conectividad a los puntos de conexión del servicio de Azure AD Connect Health. Si los firewalls bloquean la conectividad de salida, agregue los puntos de conexión de conectividad de salida a una lista de permitidos.
La conectividad de salida se basa en direcciones IP.	Para más información sobre el filtrado de firewall basado en direcciones IP, consulte los intervalos IP de Azure.
La inspección de TLS del tráfico de salida está filtrada o deshabilitada.	Las operaciones de carga de datos o de paso de registro de agente pueden generar un error si la inspección de TLS o la finalización del tráfico de salida se producen en el nivel de red. Para más información, consulte el artículo sobre la configuración de la inspección de TLS.
Los puertos del firewall en el servidor están ejecutando el agente.	El agente requiere que los siguientes puertos de firewall estén abiertos para que se pueda comunicar con los puntos de conexión del servicio de Azure AD Connect Health: - Puerto TCP 443 - Puerto TCP 5671 La versión más reciente del agente no requiere el puerto 5671. Actualice a la versión más reciente, para que solo sea necesario el puerto 443. Para más información, consulte La identidad híbrida requería puertos y protocolos.
Si está habilitada la seguridad mejorada de Internet Explorer, permita los sitios web especificados.	Si está habilitada la seguridad mejorada de Internet Explorer, permita los siguientes sitios web en el servidor en el que instala el agente: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - El servidor de federación de la organización de confianza para Azure AD (por ejemplo, https://sts.contoso.com). Para más información, consulte el artículo sobre la configuración de Internet Explorer. Si tiene un proxy en la red, consulte la nota que aparece al final de esta tabla.
Está instalada la versión 5.0 o posterior de PowerShell.	Windows Server 2016 incluye la versión 5.0 de PowerShell.

Importante

Windows Server Core no admite la instalación del agente de Azure AD Connect Health.

Nota:

Si tiene un entorno muy bloqueado y restringido, debe agregar más direcciones URL que las que aparecen en la tabla para una seguridad mejorada de Internet Explorer. Agregue también las direcciones URL que aparecen en la tabla de la siguiente sección.

Nuevas versiones del agente y Actualización automática

Si se publica una nueva versión del agente de mantenimiento, los agentes instalados existentes se actualizan de forma automática.

Conectividad saliente a los extremos del servicio de Azure

Durante la instalación y el tiempo de ejecución, el agente necesita conectividad con los puntos de conexión del servicio de Azure AD Connect Health. Si los firewalls bloquean la conectividad de salida, asegúrese de que las direcciones URL de la tabla siguiente no estén bloqueadas de forma predeterminada.

No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL. En su lugar, permítalas como lo haría con otro tipo de tráfico de Internet.

Estas direcciones URL permiten la comunicación con los puntos de conexión de servicio de Azure AD Connect Health. Más adelante en este artículo, aprenderá a comprobar la conectividad de salida mediante Test-AzureADConnectHealthConnectivity.

Entorno de dominio	Puntos de conexión del servicio de Azure necesarios
Público general	- *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Puerto: 5671 (si 5671 está bloqueado, el agente cambia a 443, pero se recomienda usar el puerto 5671. Este punto de conexión no es necesario en la versión más reciente del agente). - *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (este punto de conexión solo se utiliza para la detección durante el registro). - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Alemania	- *.blob.core.cloudapi.de - *.servicebus.cloudapi.de - *.aadconnecthealth.microsoftazure.de - https://management.microsoftazure.de - https://policykeyservice.aadcdi.microsoftazure.de - https://login.microsoftonline.de - https://secure.aadcdn.microsoftonline-p.de - https://www.office.de (este punto de conexión solo se utiliza para la detección durante el registro). - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Government	- *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (este punto de conexión solo se utiliza para la detección durante el registro). - https://aadcdn.msftauth.net - https://aadcdn.msauth.net

Descargar los agentes

Para descargar e instalar un agente de Azure AD Connect Health:

• Asegúrese de que cumple los requisitos para instalar Azure AD Connect Health.
• Introducción a Azure AD Connect Health para AD FS:
  • Descargue el agente de Azure AD Connect Health para AD FS.
  • Consulte las instrucciones de instalación.
• Introducción al uso de Azure AD Connect Health para la sincronización:
  • Descargue e instale la versión más reciente de Azure AD Connect. El agente de mantenimiento para la sincronización se instala como parte de la instalación de Azure AD Connect (versión 1.0.9125.0 o posterior).
• Introducción a Azure AD Connect Health para Azure AD DS:
  • Descargue el agente de Azure AD Connect Health para AD DS.
  • Consulte las instrucciones de instalación.

Instalación del agente para AD FS

Nota:

El servidor AD FS debe estar separado del servidor de sincronización. No instale el agente de AD FS en su servidor de sincronización.

Antes de que instale el agente, asegúrese de que el nombre de host del servidor de AD FS sea único y no esté presente en el servicio de AD FS.

Para iniciar la instalación del agente, haga doble clic en el archivo .exe que ha descargado. En el primer diálogo, seleccione Instalar.

Cuando finalice la instalación, seleccione Configurar ahora.

Se abre una ventana de PowerShell para iniciar el proceso de registro del agente. Cuando se le solicite, inicie sesión con una cuenta de Azure AD que tenga permisos para registrar el agente. De forma predeterminada, la cuenta de administrador de identidad híbrida tiene permisos.

Después de iniciar sesión, PowerShell continúa la instalación. Cuando PowerShell termine, puede cerrarlo. La configuración está completa.

En este momento, los servicios del agente deben comenzar a permitir automáticamente que el agente cargue de forma segura los datos necesarios en el servicio en la nube.

Si no ha cumplido todos los requisitos previos, aparecerán advertencias en la ventana de PowerShell. Asegúrese de completar todos los requisitos antes de instalar el agente. La siguiente captura de pantalla muestra un ejemplo de estas advertencias.

Para comprobar que se ha instalado el agente, busque los siguientes servicios en el servidor. Si completó la configuración, estos servicios deben aparecer en ejecución. De lo contrario, estarán detenidos hasta que se complete la configuración.

• Servicio de diagnóstico de AD FS de Azure AD Connect Health
• Servicio de análisis de AD FS de Azure AD Connect Health
• Servicio de supervisión de AD FS de Azure AD Connect Health

Habilitación de la auditoría de AD FS

Nota:

Esta sección se aplica solo a los servidores de AD FS. No es necesario completar estos pasos en los servidores de Proxy de aplicación web.

La característica Análisis de uso necesita recopilar y analizar datos, por lo que el agente de Azure AD Connect Health necesita la información de los registros de auditoría de AD FS. Estos registros no están habilitados de forma predeterminada. Utilice los procedimientos siguientes para habilitar la auditoría de AD FS y localizar los registros de auditoría de AD FS en los servidores de AD FS.

Para habilitar la auditoría de AD FS en Windows Server 2012 R2

1. En la pantalla Inicio, abra Administrador del servidor y, a continuación, Directiva de seguridad local. O bien, en la barra de tareas, abra Administrador del servidor y seleccione Herramientas/Directiva de seguridad local.

2. Vaya a la carpeta Configuración de seguridad\Directivas locales\Configuración de seguridad\Asignación de derechos de usuario. Haga doble clic en Generar auditorías de seguridad.

3. En la pestaña Configuración de seguridad local , compruebe que aparezca la cuenta de servicio de AD FS. Si no aparece, seleccione Agregar usuario o grupo y agregue la cuenta de servicio de AD FS a la lista. Después, seleccione Aceptar.

4. Para habilitar la auditoría, abra una ventana del símbolo del sistema como administrador y luego ejecute el siguiente comando:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Cierre Directiva de seguridad local.

   Importante

   Los pasos restantes solo son necesarios en los servidores principales de AD FS.

6. Abra el complemento Administración de AD FS. (En Administrador del servidor, seleccione Herramientas>Administración de AD FS.)

7. En el panel Acciones, seleccione Modificar las propiedades del Servicio de federación.

8. En el diálogo Propiedades del servicio de federación, seleccione la pestaña Eventos.

9. Active las casillas Auditorías de aciertos y Auditorías de errores y seleccione luego Aceptar.

10. Para habilitar el registro detallado mediante PowerShell, utilice el siguiente comando:

    Set-AdfsProperties -LOGLevel Verbose

Para habilitar la auditoría de AD FS en Windows Server 2016

1. En la pantalla Inicio, abra Administrador del servidor y, a continuación, Directiva de seguridad local. O bien, en la barra de tareas, abra Administrador del servidor y seleccione Herramientas/Directiva de seguridad local.

2. Vaya a la carpeta Configuración de seguridad\Directivas locales\Configuración de seguridad\Asignación de derechos de usuario. Haga doble clic en Generar auditorías de seguridad.

3. En la pestaña Configuración de seguridad local , compruebe que aparezca la cuenta de servicio de AD FS. Si no aparece, seleccione Agregar usuario o grupo y agregue la cuenta de servicio de AD FS a la lista. Después, seleccione Aceptar.

4. Para habilitar la auditoría, abra una ventana del símbolo del sistema como administrador y luego ejecute el siguiente comando:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Cierre Directiva de seguridad local.

   Importante

   Los pasos restantes solo son necesarios en los servidores principales de AD FS.

6. Abra el complemento Administración de AD FS. (En Administrador del servidor, seleccione Herramientas>Administración de AD FS.)

7. En el panel Acciones, seleccione Modificar las propiedades del Servicio de federación.

8. En el diálogo Propiedades del servicio de federación, seleccione la pestaña Eventos.

9. Active las casillas Auditorías de aciertos y Auditorías de errores y seleccione luego Aceptar. Las auditorías de aciertos y las auditorías de errores deberían estar habilitadas de forma predeterminada.

10. Abra una ventana de PowerShell y ejecute el siguiente comando:

    Set-AdfsProperties -AuditLevel Verbose

El nivel de auditoría "básico" está habilitado de forma predeterminada. Para más información, consulte Mejoras de auditorías de AD FS en Windows Server 2016.

Para buscar los registros de auditoría de AD FS

1. Abra Visor de eventos.

2. Vaya a Registros de Windows y seleccione Seguridad.

3. En el panel derecho, seleccione Filtrar registros actuales.

4. En Orígenes de eventos, seleccione AD FS Auditing(Auditoría de AD FS).

   Para más información acerca de los registros de auditoría, consulte Preguntas sobre operaciones.

   

Advertencia

Una directiva de grupo puede deshabilitar la auditoría de AD FS. Si se deshabilita la auditoría de AD FS, no estará disponible el análisis de uso sobre las actividades de inicio de sesión. Asegúrese de no tener ninguna directiva de grupo que deshabilite la auditoría de AD FS.

Instalación del agente para la sincronización

El agente de Azure AD Connect Health para la sincronización se instala automáticamente en la versión más reciente de Azure AD Connect. Para utilizar Azure AD Connect para la sincronización, descargue la versión más reciente de Azure AD Connect e instálela.

Para comprobar que se instaló el agente, busque los siguientes servicios en el servidor. Si ha completado la configuración, los servicios deben aparecer ya en ejecución. De lo contrario, estarán detenidos hasta que se complete la configuración.

• Servicio de análisis de sincronización de Azure AD Connect Health
• Servicio de supervisión de sincronización de Azure AD Connect Health

Nota:

Recuerde que debe tener Azure AD Premium (P1 o P2) para utilizar Azure AD Connect Health. Si no lo tiene, no podrá completar la configuración en Azure Portal. Para más información, consulte los requisitos.

Registro manual de Azure AD Connect Health para la sincronización

Si se produce un error del agente de registro de Azure AD Connect Health para la sincronización después de instalar correctamente Azure AD Connect, puede utilizar un comando de PowerShell para registrar el agente manualmente.

Importante

Utilice este comando de PowerShell solo si se produce un error en el registro del agente después de instalar Azure AD Connect.

Registre manualmente el agente de Azure AD Connect Health para la sincronización con el siguiente comando de PowerShell. Los servicios de Azure AD Connect Health se iniciarán después de que el agente se registre correctamente.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

El comando toma los siguientes parámetros:

• AttributeFiltering: $true (predeterminado) si Azure AD Connect no está sincronizando el conjunto de atributos predeterminado y se ha personalizado para usar un conjunto de atributos filtrados. En otros casos, use $false.
• StagingMode: $false (predeterminado) si el servidor de Azure AD Connect no está en modo de ensayo. Si el servidor está configurado para estar en modo de ensayo, utilice $true.

Cuando se le solicite autenticación, use la misma cuenta de administrador global (como admin@domain.onmicrosoft.com) que utilizó para configurar Azure AD Connect.

Instalación del agente para Azure AD DS

Para iniciar la instalación del agente, haga doble clic en el archivo .exe que ha descargado. En la primera ventana, seleccione Instalar.

Cuando finalice la instalación, seleccione Configurar ahora.

Se abre una ventana del símbolo del sistema. PowerShell ejecuta Register-AzureADConnectHealthADDSAgent. Cuando se le solicite, inicie sesión en Azure.

Después de que inicie sesión, PowerShell continúa. Cuando PowerShell termine, puede cerrarlo. Se ha completado la configuración.

En este punto, los servicios se deberían iniciar automáticamente y permiten que el agente supervise y recopile datos. Si no ha cumplido todos los requisitos previos descritos en las secciones anteriores, verá unas advertencias en la ventana de PowerShell. Asegúrese de completar todos los requisitos antes de instalar el agente. La siguiente captura de pantalla muestra un ejemplo de estas advertencias.

Para comprobar que el agente está instalado, busque los siguientes servicios en el controlador de dominio:

• Servicio de análisis de AD DS de Azure AD Connect Health
• Servicio de supervisión de AD DS de Azure AD Connect Health

Si completó la configuración, estos servicios deben aparecer ya en ejecución. De lo contrario, estarán detenidos hasta que finalice la configuración.

Instalación rápida del agente en varios servidores

1. Cree una cuenta de usuario en Azure AD. Proteja la cuenta mediante una contraseña.

2. Asigne el rol Propietario a esta cuenta de Azure AD local en Azure AD Connect Health mediante el portal. Asigne el rol a todas las instancias de servicio.

3. Descargue el archivo de MSI .exe en el controlador de dominio local para la instalación.

4. Ejecute el siguiente script. Reemplace los parámetros por la nueva cuenta de usuario y su contraseña.

   AdHealthAddsAgentSetup.exe /quiet
   Start-Sleep 30
   $userName = "NEWUSER@DOMAIN"
   $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
   $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
   import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
   
   Register-AzureADConnectHealthADDSAgent -Credential $myCreds
   

Cuando haya terminado, puede quitar el acceso a la cuenta local completando una o varias de las siguientes tareas:

• Quite la asignación de rol de la cuenta local para Azure AD Connect Health.
• Cambie la contraseña de la cuenta local.
• Deshabilite la cuenta local de Azure AD.
• Elimine la cuenta local de Azure AD.

Registro del agente mediante PowerShell

Después de instalar el archivo setup.exe del agente correspondiente, puede registrar el agente con los siguientes comandos de PowerShell en función del rol. Abra PowerShell como administrador y ejecute el comando correspondiente:

Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

Nota:

Para registrarse en nubes soberanas, use las siguientes líneas de comandos:

Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

Estos comandos aceptan Credential como parámetro para completar el registro de forma no interactiva o para completarlo en un equipo que ejecuta Server Core. Tenga en cuenta estos factores:

• Puede capturar Credential en una variable de PowerShell que se pasa como parámetro.
• Puede proporcionar cualquier identidad de Azure AD que tenga permisos para registrar los agentes y que no tenga la autenticación multifactor habilitada.
• De forma predeterminada, los administradores globales tienen permisos para registrar los agentes. También puede permitir que otras identidades con menos privilegios realicen este paso. Para más información, consulte Azure RBAC.

    $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

Configuración de agentes de Azure AD Connect Health para usar el proxy HTTP

Puede configurar agentes de Azure AD Connect Health para trabajar con un proxy HTTP.

Nota:

• Netsh WinHttp set ProxyServerAddress no se admite. El agente utiliza System.Net en lugar de los servicios HTTP de Windows para crear solicitudes web.
• La dirección del proxy HTTP configurada se utiliza para transmitir mensajes HTTPS cifrados.
• No se admiten los servidores proxy autenticados (mediante HTTPBasic).

Cambio de configuración de proxy del agente

Para configurar el agente de Azure AD Connect Health a fin de que utilice un proxy HTTP, puede hacer lo siguiente:

• Importación de configuración de proxy existente
• Especificación manual de direcciones de proxy
• Borrado de la configuración de proxy existente

Nota:

Para actualizar la configuración de proxy, debe reiniciar todos los servicios del agente de Azure AD Connect Health. Para reiniciar todos los agentes, ejecute el siguiente comando:

Restart-Service AdHealthAdfs*

Importación de configuración de proxy existente

Puede importar la configuración de proxy HTTP de Internet Explorer para que los agentes de Azure AD Connect Health puedan utilizar la configuración. En cada uno de los servidores que ejecutan el agente de mantenimiento, ejecute el siguiente comando de PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

Puede importar la configuración de proxy WinHTTP para que los agentes de Azure AD Connect Health puedan utilizarla. En cada uno de los servidores que ejecutan el agente de mantenimiento, ejecute el siguiente comando de PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

Especificación manual de direcciones de proxy

Puede especificar un servidor proxy de forma manual. En cada uno de los servidores que ejecutan el agente de mantenimiento, ejecute el siguiente comando de PowerShell:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

Este es un ejemplo:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

En este ejemplo:

• El valor address puede ser un nombre de dominio DNS que se pueda resolver o una dirección IPv4.
• Puede omitir port. Si es así, el puerto predeterminado es 443.

Borrado de la configuración de proxy existente

Puede borrar la configuración de proxy existente ejecutando el comando siguiente:

Set-AzureAdConnectHealthProxySettings -NoProxy

Lectura de la configuración de proxy actual

Puede ejecutar el comando siguiente para leer la configuración de proxy actual:

Get-AzureAdConnectHealthProxySettings

Prueba de la conectividad con el servicio Azure AD Connect Health

Ocasionalmente, el agente de Azure AD Connect Health pierde la conectividad con el servicio de Azure AD Connect Health. Las causas de esta pérdida de conectividad pueden incluir problemas de red, problemas de permisos y otros problemas.

Si el agente no puede enviar datos al servicio de Azure AD Connect Health durante más de dos horas, aparecerá la siguiente alerta en el portal: Los datos del Servicio de mantenimiento no están actualizados.

Puede averiguar si el agente de Azure AD Connect Health afectado puede cargar datos en el servicio de Azure AD Connect Health ejecutando el siguiente comando de PowerShell:

Test-AzureADConnectHealthConnectivity -Role ADFS

El parámetro de Role tiene actualmente los siguientes valores:

• ADFS
• Sync
• ADDS

Nota:

Para poder utilizar la herramienta de conectividad, primero debe registrar el agente. Si no puede completar el registro del agente, asegúrese de que cumple todos los requisitos para Azure AD Connect Health. La conectividad se prueba de forma predeterminada durante el registro del agente.

Pasos siguientes

Consulte los artículos relacionados siguientes:

• Azure AD Connect Health
• Operaciones de Azure AD Connect Health
• Uso de Azure AD Connect Health con AD FS
• Uso de Azure AD Connect Health para sincronización
• Uso de Azure AD Connect Health con Azure AD DS
• Preguntas más frecuentes de Azure AD Connect Health
• Historial de versiones de Azure AD Connect Health