Installer les agents Microsoft Entra Connect Health
Dans cet article, vous apprendrez à installer et à configurer les agents Microsoft Entra Connect Health.
Découvrez comment télécharger les agents.
Remarque
Microsoft Entra Connect Health n’est pas disponible dans le cloud souverain en Chine.
Spécifications
Le tableau suivant énumère les conditions requises pour l'utilisation de Microsoft Entra Connect Health :
| Condition requise | Description |
|---|---|
| Vous avez un abonnement Microsoft Entra ID P1 ou P2. | Microsoft Entra Connect Health est une fonctionnalité de Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez S’inscrire à Microsoft Entra ID P1 ou P2. Pour démarrer une période d’évaluation gratuite de 30 jours, consultez Démarrer l’essai gratuit. |
| Vous êtes administrateur général dans Microsoft Entra ID. | Actuellement, seuls les comptes d’administrateur général peuvent installer et configurer des agents d’intégrité. Pour plus d’informations, consultez l’article Administration de votre annuaire Microsoft Entra. En utilisant le contrôle d'accès basé sur les rôles Azure (Azure RBAC), vous pouvez autoriser d'autres utilisateurs de votre organisation à accéder à Microsoft Entra Connect Health. Pour plus d'informations, voir Azure RBAC pour Microsoft Entra Connect Health. Important ! Utilisez un compte professionnel ou scolaire pour installer les agents. Vous ne pouvez pas utiliser un compte Microsoft pour installer les agents. Pour plus d’informations, consultez Inscription à Azure en tant qu’organisation. |
| L’agent Microsoft Entra Connect Health est installé sur chaque serveur cible. | Les agents d’intégrité doivent être installés et configurés sur des serveurs ciblés pour pouvoir recevoir des données et fournir des capacités de surveillance et d’analytique. Par exemple, pour obtenir des données de votre infrastructure de services de fédération Active Directory (AD FS), vous devez installer l’agent sur le serveur AD FS et le serveur proxy d’application web. De même, pour obtenir des données de votre infrastructure AD Domain Services locale, vous devez installer l’agent sur les contrôleurs de domaine. |
| Les points de terminaison de service Azure ont une connectivité sortante. | Pendant l’installation et l’exécution, l’agent nécessite une connectivité vers les points de terminaison de service Microsoft Entra Connect Health. Si les pare-feux bloquent la connectivité sortante, ajoutez les points de terminaison de connectivité sortante à la liste d’autorisation. |
| La connectivité sortante est basée sur les adresses IP. | Pour plus d’informations sur le filtrage de pare-feu basé sur des adresses IP, consultez Plages d’adresses IP Azure. |
| L’inspection TLS pour le trafic sortant est filtrée ou désactivée. | L’étape d’inscription de l’agent ou les étapes de chargement de données peuvent échouer en cas d’inspection ou d’arrêt du protocole TLS pour le trafic sortant sur la couche réseau. Pour plus d’informations, consultez Configurer l’inspection TLS. |
| Les ports de pare-feu sur le serveur exécutent l’agent. | L’agent nécessite que les ports de pare-feu suivants soient ouverts pour pouvoir communiquer avec les points de terminaison de service Microsoft Entra Connect Health : – Port TCP 443 – Port TCP 5671 La version la plus récente de l’agent ne requiert pas le port 5671. Procédez à une mise à niveau vers la dernière version pour que seul le port 443 soit requis. Pour plus d’informations, consultez Ports et protocoles nécessaires à l’identité hybride. |
| Si la sécurité renforcée d’Internet Explorer est activée, autorisez les sites web spécifiés. | Si la sécurité renforcée d’Internet Explorer est activée, autorisez les sites web suivants sur le serveur sur lequel vous installez l’agent : - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net – Le serveur de fédération de votre organisation approuvé par Microsoft Entra ID (par exemple, https://sts.contoso.com). Pour plus d’informations, consultez Guide pratique pour configurer Internet Explorer. Si vous avez un proxy dans votre réseau, consultez la remarque qui figure à la fin de ce tableau. |
| La version 5.0 ou ultérieure de PowerShell est installée. | Le serveur Windows 2016 comprend la version 5.0 de PowerShell. |
Important
Windows Server Core ne prend pas en charge l’installation de l’agent Microsoft Entra Connect Health.
Remarque
Si vous disposez d’un environnement hautement verrouillé et restreint, vous devez ajouter plus d’URL que celles que le tableau énumère pour la sécurité renforcée d’Internet Explorer. Ajoutez également les URL qui sont répertoriées dans le tableau de la section suivante.
Nouvelles versions de l’agent et de la mise à niveau automatique
Si une nouvelle version de l’agent d’intégrité est publiée, tous les agents installés existants sont automatiquement mis à jour.
Connectivité sortante vers des points de terminaison de service Azure
Pendant l’installation et l’exécution, l’agent nécessite une connectivité vers les points de terminaison de service Microsoft Entra Connect Health. Si les pare-feu bloquent la connectivité sortante, assurez-vous que les URL du tableau suivant ne sont pas bloquées par défaut.
Ne désactivez pas la supervision ou l’inspection de sécurité de ces URL. Autorisez-les plutôt comme vous le feriez pour un autre trafic Internet.
Ces URL permettent la communication avec les points de terminaison de service Microsoft Entra Connect Health. Plus loin dans cet article, vous apprendrez à vérifier la connectivité sortante à l’aide de Test-MicrosoftEntraConnectHealthConnectivity.
| Environnement de domaine | Points de terminaison de service Azure nécessaires |
|---|---|
| Grand public | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net – Port : 5671 (si 5671 est bloqué, l’agent se rabat sur le port 443, mais nous recommandons d’utiliser le port 5671 est recommandée. Ce point de terminaison n’est pas obligatoire dans la dernière version de l’agent.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ce point de terminaison est utilisé uniquement à des fins de détection pendant l’inscription.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ce point de terminaison est utilisé uniquement à des fins de détection pendant l’inscription.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Télécharger les agents
Pour télécharger et installer l'agent Microsoft Entra Connect Health :
- Vérifiez que vous répondez aux exigences pour installer de Microsoft Entra Connect Health.
- Commencez à utiliser Microsoft Entra Connect Health pour AD FS :
- Bien démarrer avec Microsoft Entra Connect Health pour la synchronisation :
- Téléchargez et installez la dernière version de Microsoft Entra Connect. L'agent de santé pour la synchronisation est installé dans le cadre de l'installation de Microsoft Entra Connect (version 1.0.9125.0 ou ultérieure).
- Commencez à utiliser Microsoft Entra Connect Health pour AD Domain Services :
Installer l’agent pour AD FS
Si vous souhaitez obtenir des informations sur l’installation et le monitoring AD FS avec l’agent Microsoft Entra Connect Health, consultez Agents Microsoft Entra Connect Health pour AD FS.
Installer l’agent pour la synchronisation
L’agent Microsoft Entra Connect Health pour la synchronisation est installé automatiquement dans la dernière version de Microsoft Entra Connect. Pour utiliser Microsoft Entra Connect pour la synchronisation, téléchargez la dernière version de Microsoft Entra Connect et installez-la.
Pour vérifier que l’agent a été installé, recherchez les services suivants sur le serveur. Si vous avez terminé la configuration, les services doivent déjà être en cours d’exécution. Dans le cas contraire, ils sont arrêtés tant que la configuration n’est pas terminée.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Remarque
N’oubliez pas que vous devez avoir Microsoft Entra ID P1 ou P2 pour utiliser Microsoft Entra Connect Health. Si vous ne disposez pas de Microsoft Entra ID P1 or P2, vous ne pouvez pas terminer la configuration dans le centre d’administration Microsoft Entra. Pour plus d’informations, consultez la configuration requise.
Enregistrer manuellement Microsoft Entra Connect Health pour la synchronisation
Si l’inscription de l’agent Microsoft Entra Connect Health pour la synchronisation échoue après l’installation correcte de Microsoft Entra Connect, vous pouvez utiliser une commande PowerShell pour inscrire l’agent manuellement.
Important
Utilisez cette commande PowerShell uniquement si l’inscription de l’agent échoue après l’installation de Microsoft Entra Connect.
Inscrivez manuellement l’agent Microsoft Entra Connect Health pour la synchronisation à l’aide de la commande PowerShell suivante. Les services Microsoft Entra Connect Health démarreront une fois l’agent correctement enregistré.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
La commande prend les paramètres qui suivent :
AttributeFiltering:$true(par défaut), si Microsoft Entra Connect ne synchronise pas le jeu d’attributs par défaut et a été personnalisé pour utiliser un jeu d’attributs filtré. Sinon, utilisez$false.StagingMode:$false(par défaut), si le serveur Microsoft Entra Connect n’est pas en mode intermédiaire. Si le serveur est configuré pour être en mode intermédiaire, utilisez$true.
Quand vous êtes invité à vous authentifier, utilisez le même compte Administrateur général (par exemple, admin@domain.onmicrosoft.com) que celui que vous avez utilisé pour configurer Microsoft Entra.
Installer l’agent pour AD Domain Services
Pour démarrer l’installation de l’agent, double-cliquez sur le fichier .exe que vous avez téléchargé. Dans la première fenêtre, sélectionnez Installer.
Lorsque vous y êtes invité, connectez-vous à l’aide d’un compte Microsoft Entra disposant des autorisations nécessaires pour inscrire l’agent. Par défaut, le compte Administrateur d’identité hybride a des autorisations.
Une fois connecté, le processus d’installation se termine et vous pouvez fermer la fenêtre.
À ce stade, les services de l’agent doivent démarrer automatiquement pour permettre à l’agent de charger en toute sécurité les données requises pour le service cloud.
Pour vérifier que l’agent a été installé, recherchez les services suivants sur le serveur. Si vous avez terminé la configuration, ils doivent déjà être en cours d’exécution. Dans le cas contraire, ils sont arrêtés tant que la configuration n’est pas terminée.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Installer rapidement l’agent sur plusieurs serveurs
Créez un compte utilisateur dans Microsoft Entra ID. Sécurisez le compte à l’aide d’un mot de passe.
Attribuez le rôle Propriétaire pour ce compte de Microsoft Entra local dans Microsoft Entra Connect Health à l’aide du portail. Affectez le rôle à toutes les instances de services.
Téléchargez le fichier MSI .exe dans le contrôleur de domaine local pour l’installation.
Exécutez le script suivant. Remplacez les paramètres par votre nouveau compte d’utilisateur et son mot de passe.
AdHealthAddsAgentSetup.exe /quiet Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Lorsque vous avez terminé, vous pouvez supprimer l’accès du compte local en effectuant une ou plusieurs des tâches suivantes :
- Supprimer l’attribution de rôle au compte local pour Microsoft Entra Connect Health.
- retournez le mot de passe du compte local ;
- Désactivez le compte local Microsoft Entra.
- Supprimez le compte local Microsoft Entra.
Inscrire l’agent à l’aide de PowerShell
Après avoir installé le fichier setup.exe approprié de l’agent approprié, vous pouvez inscrire l’agent à l’aide des commandes PowerShell suivantes, en fonction du rôle. Ouvrez PowerShell en tant qu’administrateur et exécutez la commande appropriée :
Register-MicrosoftEntraConnectHealthAgent
Notes
Pour vous inscrire auprès de clouds souverains, utilisez les lignes de commande suivantes :
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Ces commandes acceptent Credential en tant que paramètre pour terminer l’inscription de manière non interactive ou pour terminer l’inscription sur un ordinateur qui exécute Server Core. Gardez à l’esprit les points suivants :
- Vous pouvez capturer
Credentialdans une variable PowerShell qui est transmise en tant que paramètre. - Vous pouvez fournir n’importe quelle identité Microsoft Entra qui dispose des autorisations nécessaires pour inscrire les agents et pour laquelle l’authentification multifacteur n’est pas activée.
- Par défaut, les administrateurs généraux sont autorisés à inscrire les agents. Vous pouvez également autoriser des identités moins privilégiées à effectuer cette étape. Pour plus d’informations, consultez Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Configurer les agents Microsoft Entra Connect Health pour qu'ils utilisent un proxy HTTP
Vous pouvez configurer des agents Microsoft Entra Connect Health pour utiliser un proxy HTTP.
Remarque
Netsh WinHttp set ProxyServerAddressn’est pas pris en charge. L’agent utilise System.Net au lieu des services HTTP Windows pour effectuer des requêtes web.- L’adresse de proxy HTTP configurée sert à transmettre des messages HTTPS chiffrés.
- Les serveurs proxy authentifiés (à l’aide de HTTPBasic) ne sont pas pris en charge.
Modifier la configuration de l’agent proxy
Pour configurer l’agent Microsoft Entra Connect Health pour qu’il utilise un proxy HTTP, vous pouvez :
- Importer les paramètres de proxy existants.
- Spécifier les adresses du proxy manuellement.
- Effacer la configuration de proxy existante.
Remarque
Pour mettre à jour les paramètres de proxy, vous devez redémarrer tous les services de l’agent Microsoft Entra Connect Health. Pour redémarrer tous les agents, exécutez la commande suivante :
Restart-Service AzureADConnectHealthAgent*
Importer les paramètres de proxy existants
Vous pouvez importer les paramètres du proxy HTTP d’Internet Explorer afin que les agents Microsoft Entra Connect Health puissent les utiliser. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Vous pouvez importer les paramètres du proxy WinHTTP afin que les agents Microsoft Entra Connect Health puissent les utiliser. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Spécifier les adresses du proxy manuellement
Vous pouvez spécifier manuellement un serveur proxy. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Voici un exemple :
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
Dans cet exemple :
- Le paramètre
addresspeut être un nom de serveur DNS pouvant être résolu ou une adresse IPv4. - Vous pouvez omettre
port. Si vous le faites, le port 443 est le port par défaut.
Effacer la configuration de proxy existante
Vous pouvez effacer la configuration du proxy en exécutant la commande suivante :
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Lecture des paramètres de proxy actuels
Vous pouvez lire les paramètres de proxy actuels en exécutant la commande suivante :
Get-MicrosoftEntraConnectHealthProxySettings
Tester la connectivité au service Microsoft Entra Connect Health
Parfois, l’agent Azure AD Connect Health perd la connectivité au service Microsoft Entra Connect Health. Les causes de cette perte de connectivité peuvent inclure des problèmes de réseau, des problèmes d’autorisation et divers autres problèmes.
Si l’agent ne peut pas envoyer de données au service Microsoft Entra Connect Health pendant plus de deux heures, l’alerte suivante s’affiche dans le portail : Les données du service de contrôle d’intégrité ne sont pas à jour.
Vous pouvez savoir si l’agent Microsoft Entra Connect Health concerné peut charger des données vers le service Microsoft Entra Connect Health en exécutant la commande PowerShell suivante :
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Le paramètre Role peut avoir les valeurs suivantes :
ADFSSyncADDS
Notes
Pour utiliser l’outil de connectivité, vous devez d’abord inscrire l’agent. Si vous ne pouvez pas terminer l’inscription de l’agent, vérifiez que vous avez rempli toutes les conditions requises pour Microsoft Entra Connect Health. La connectivité est testée par défaut lors de l’inscription de l’agent.
Étapes suivantes
Consultez les articles connexes suivants :
- Microsoft Entra Connect Health
- Opérations Microsoft Entra Connect Health
- Utilisation de Microsoft Entra Connect Health avec AD FS
- Utilisation de Microsoft Entra Connect Health pour la synchronisation
- Utilisant Microsoft Entra Connect Health avec les services de domaine AD
- FAQ sur Microsoft Entra Connect Health
- Historique des versions de Microsoft Entra Connect Health