A Microsoft Entra Connect Health-ügynökök telepítése
Ebből a cikkből megtudhatja, hogyan telepítheti és konfigurálhatja a Microsoft Entra Connect Health-ügynököket.
Megtudhatja , hogyan töltheti le az ügynököket.
Jegyzet
A Microsoft Entra Connect Health nem érhető el a kínai szuverén felhőben.
Követelmények
Az alábbi táblázat a Microsoft Entra Connect Health használatára vonatkozó követelményeket sorolja fel:
| Követelmény | Leírás |
|---|---|
| Microsoft Entra ID P1 vagy P2 előfizetéssel rendelkezik. | A Microsoft Entra Connect Health a Microsoft Entra ID P1 vagy P2 szolgáltatása. További információ: Regisztráció a Microsoft Entra P1 vagy P2 azonosítójához. Az ingyenes 30 napos próbaverzió elindításához lásd : Próbaidőszak indítása. |
| Ön globális rendszergazda a Microsoft Entra-azonosítóban. | Jelenleg csak a globális rendszergazdai fiókok telepíthetnek és konfigurálhatnak állapotügynököket. További információ: A Microsoft Entra-címtár felügyelete. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával engedélyezheti a szervezet más felhasználói számára a Microsoft Entra Connect Health elérését. További információ: Azure RBAC for Microsoft Entra Connect Health. Fontos: Az ügynökök telepítéséhez használjon munkahelyi vagy iskolai fiókot. Az ügynökök telepítéséhez nem használhat Microsoft-fiókot. További információ: Regisztráció az Azure-ra szervezetként. |
| A Microsoft Entra Connect Health-ügynök minden célzott kiszolgálón telepítve van. | Az állapotügynököket telepíteni és konfigurálni kell a célzott kiszolgálókon, hogy adatokat fogadhassák, és monitorozási és elemzési képességeket biztosítsanak. Ha például a Active Directory összevonási szolgáltatások (AD FS) (AD FS) infrastruktúrából szeretne adatokat lekérni, telepítenie kell az ügynököt az AD FS-kiszolgálóra és a webes alkalmazásproxy-kiszolgálóra. Hasonlóképpen, ha adatokat szeretne lekérni a helyszíni AD Domain Services-infrastruktúrából, telepítenie kell az ügynököt a tartományvezérlőkre. |
| Az Azure-szolgáltatásvégpontok kimenő kapcsolattal rendelkeznek. | A telepítés és a futtatókörnyezet során az ügynöknek csatlakoznia kell a Microsoft Entra Connect Health szolgáltatásvégpontjaihoz. Ha a tűzfalak blokkolják a kimenő kapcsolatot, adja hozzá a kimenő kapcsolat végpontjait egy engedélyezési listához. |
| A kimenő kapcsolat IP-címeken alapul. | Az IP-címek alapján történő tűzfalszűrésről az Azure IP-címtartományairól olvashat. |
| A kimenő forgalom TLS-vizsgálata szűrt vagy letiltott. | Az ügynökregisztrációs lépés vagy az adatfeltöltési műveletek meghiúsulhatnak, ha a hálózati rétegen TLS-vizsgálat vagy leállítás történik a kimenő forgalom esetében. További információ: TLS-vizsgálat beállítása. |
| A kiszolgálón lévő tűzfalportok az ügynököt futtatják. | Az ügynöknek meg kell nyitnia a következő tűzfalportokat, hogy kommunikálni tudjon a Microsoft Entra Connect Health szolgáltatás végpontjaival: - 443-os TCP-port - 5671-ös TCP-port Az ügynök legújabb verziójához nincs szükség az 5671-es portra. Frissítsen a legújabb verzióra, hogy csak a 443-as portra legyen szükség. További információ: Hibrid identitáshoz szükséges portok és protokollok. |
| Ha az Internet Explorer fokozott biztonsága engedélyezve van, engedélyezze a megadott webhelyeket. | Ha az Internet Explorer fokozott biztonsága engedélyezve van, engedélyezze a következő webhelyeket azon a kiszolgálón, ahol az ügynököt telepíti: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - A szervezet összevonási kiszolgálója, amelyet a Microsoft Entra ID megbízható (például https://sts.contoso.com). További információ: Az Internet Explorer konfigurálása. Ha proxyja van a hálózatban, tekintse meg a tábla végén megjelenő megjegyzést. |
| A PowerShell 5.0-s vagy újabb verziója telepítve van. | A Windows Server 2016 tartalmazza a PowerShell 5.0-s verzióját. |
Fontos
A Windows Server Core nem támogatja a Microsoft Entra Connect Health-ügynök telepítését.
Jegyzet
Ha szigorúan zárolt és korlátozott környezettel rendelkezik, több URL-címet kell hozzáadnia, mint az Internet Explorer fokozott biztonságú táblázatlistáinak URL-címeit. A következő szakaszban a táblázatban felsorolt URL-címeket is hozzáadhatja.
Fontos
Ha a Microsoft Entra Connect Syncet hibrid rendszergazdai szerepkörrel rendelkező fiókkal telepítette, az ügynök le lesz tiltva. Az ügynök aktiválásához újra kell telepítenie egy globális rendszergazdai fiókkal.
Az ügynök új verziói és az automatikus frissítés
Ha az állapotügynök új verziója jelenik meg, a rendszer automatikusan frissíti a meglévő, telepített ügynököket.
Kimenő kapcsolat az Azure-szolgáltatásvégpontokhoz
A telepítés és a futtatókörnyezet során az ügynöknek csatlakoznia kell a Microsoft Entra Connect Health szolgáltatásvégpontjaihoz. Ha a tűzfalak blokkolják a kimenő kapcsolatot, győződjön meg arról, hogy a következő táblázatban szereplő URL-címek alapértelmezés szerint nincsenek letiltva.
Ne tiltsa le ezeknek az URL-címeknek a biztonsági monitorozását vagy ellenőrzését. Ehelyett engedélyezze őket, ahogy más internetes forgalmat is engedélyezne.
Ezek az URL-címek lehetővé teszik a Microsoft Entra Connect Health szolgáltatás végpontjaival való kommunikációt. A cikk későbbi részében megtudhatja, hogyan ellenőrizheti a kimenő kapcsolatokat a használatával Test-MicrosoftEntraConnectHealthConnectivity.
| Tartományi környezet | Kötelező Azure-szolgáltatásvégpontok |
|---|---|
| Nagyközönség | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Port: 5671 (Ha az 5671 le van tiltva, az ügynök visszaáll a 443-ra, de azt javasoljuk, hogy az 5671-es portot használja. Ez a végpont nem szükséges az ügynök legújabb verziójában.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ez a végpont csak felderítési célokra használható a regisztráció során.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Ez a végpont csak felderítési célokra használható a regisztráció során.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Az ügynökök letöltése
A Microsoft Entra Connect Health-ügynök letöltése és telepítése:
- Győződjön meg arról, hogy megfelel a Microsoft Entra Connect Health telepítéséhez szükséges követelményeknek .
- A Microsoft Entra Connect Health for AD FS használatának első lépései:
- Töltse le az AD FS-hez készült Microsoft Entra Connect Health-ügynököt.
- Tekintse meg a telepítési utasításokat.
- A Microsoft Entra Connect Health szinkronizáláshoz való használatának első lépései:
- Töltse le és telepítse a Microsoft Entra Connect legújabb verzióját. A szinkronizálás állapotügynöke a Microsoft Entra Connect telepítésének részeként (1.0.9125.0-s vagy újabb verzió) van telepítve.
- A Microsoft Entra Connect Health for AD Domain Services használatának első lépései:
Az AD FS ügynökének telepítése
Az AD FS a Microsoft Entra Connect Health-ügynökkel való telepítéséről és monitorozásáról az AD FS-hez készült Microsoft Entra Connect Health-ügynökök című témakörben olvashat.
Az ügynök telepítése szinkronizáláshoz
A Microsoft Entra Connect Health szinkronizálási ügynöke automatikusan telepítve van a Microsoft Entra Connect legújabb verziójában. A Microsoft Entra Connect szinkronizáláshoz való használatához töltse le a Microsoft Entra Connect legújabb verzióját, és telepítse.
Az ügynök telepítésének ellenőrzéséhez keresse meg a következő szolgáltatásokat a kiszolgálón. Ha befejezte a konfigurációt, a szolgáltatásoknak már futniuk kell. Ellenkező esetben a szolgáltatások le lesznek állítva, amíg a konfiguráció be nem fejeződik.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Jegyzet
Ne feledje, hogy a Microsoft Entra Connect Health használatához p1 vagy P2 Azonosítójú Microsoft Entra azonosítóval kell rendelkeznie. Ha nem rendelkezik P1 vagy P2 Microsoft Entra-azonosítóval, a Konfiguráció nem fejezhető be a Microsoft Entra felügyeleti központban. További információkért tekintse meg a követelményeket.
A Microsoft Entra Connect Health manuális regisztrálása szinkronizáláshoz
Ha a Microsoft Entra Connect sikeres telepítése után a szinkronizálási ügynök regisztrálása meghiúsul, a PowerShell-paranccsal manuálisan regisztrálhatja az ügynököt.
Fontos
Ezt a PowerShell-parancsot csak akkor használja, ha az ügynök regisztrálása a Microsoft Entra Connect telepítése után meghiúsul.
A Microsoft Entra Connect Health-ügynök manuális regisztrálása szinkronizáláshoz az alábbi PowerShell-paranccsal. A Microsoft Entra Connect Health-szolgáltatások az ügynök sikeres regisztrálása után kezdődnek.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
A parancs a következő paramétereket használja:
AttributeFiltering:$true(alapértelmezett) ha a Microsoft Entra Connect nem szinkronizálja az alapértelmezett attribútumkészletet, és úgy lett testre szabva, hogy szűrt attribútumkészletet használjon. Ellenkező esetben használja a következőt$false: .StagingMode:$false(alapértelmezett) ha a Microsoft Entra Connect-kiszolgáló nincs átmeneti módban. Ha a kiszolgáló átmeneti módban van konfigurálva, használja a következőt$true: .
Amikor a rendszer hitelesítést kér, használja ugyanazt a globális rendszergazdai fiókot (például admin@domain.onmicrosoft.com), amelyet a Microsoft Entra Connect konfigurálásához használt.
Az AD Domain Services ügynökének telepítése
Az ügynök telepítésének elindításához kattintson duplán a letöltött .exe fájlra. Az első ablakban válassza a Telepítés lehetőséget.
Amikor a rendszer kéri, jelentkezzen be egy Microsoft Entra-fiókkal, amely rendelkezik az ügynök regisztrálásához szükséges engedélyekkel. Alapértelmezés szerint a hibrid identitáskezelő fiók rendelkezik engedélyekkel.
A bejelentkezés után a telepítési folyamat befejeződik, és bezárhatja az ablakot.
Ezen a ponton az ügynökszolgáltatásnak automatikusan engedélyeznie kell, hogy az ügynök biztonságosan feltöltse a szükséges adatokat a felhőszolgáltatásba.
Az ügynök telepítésének ellenőrzéséhez keresse meg a következő szolgáltatásokat a kiszolgálón. Ha befejezte a konfigurációt, az már fut. Ellenkező esetben a konfiguráció befejezéséig le lesznek állítva.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Az ügynök gyors telepítése több kiszolgálón
Hozzon létre egy felhasználói fiókot a Microsoft Entra-azonosítóban. A fiók védelme jelszóval.
Rendelje hozzá a tulajdonosi szerepkört ehhez a helyi Microsoft Entra-fiókhoz a Microsoft Entra Connect Healthben a portál használatával. Rendelje hozzá a szerepkört az összes szolgáltatáspéldányhoz.
Töltse le a .exe MSI-fájlt a helyi tartományvezérlőn a telepítéshez.
Futtassa a következő szkriptet. Cserélje le a paramétereket az új felhasználói fiókra és annak jelszavára.
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Ha végzett, eltávolíthatja a helyi fiókhoz való hozzáférést az alábbi feladatok valamelyikének elvégzésével:
- Távolítsa el a Microsoft Entra Connect Health helyi fiókjához tartozó szerepkör-hozzárendelést.
- Forgassa el a helyi fiók jelszavát.
- Tiltsa le a Microsoft Entra helyi fiókját.
- Törölje a Microsoft Entra helyi fiókját.
Az ügynök regisztrálása a PowerShell használatával
A megfelelő ügynök setup.exe fájl telepítése után a szerepkörtől függően az alábbi PowerShell-parancsokkal regisztrálhatja az ügynököt. Nyissa meg a PowerShellt rendszergazdaként, és futtassa a megfelelő parancsot:
Register-MicrosoftEntraConnectHealthAgent
Jegyzet
A szuverén felhőkben való regisztrációhoz használja a következő parancssorokat:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Ezek a parancsok paraméterként fogadják el Credential a regisztráció nem interaktív befejezését vagy a regisztráció befejezését a Server Core-t futtató számítógépen. Tartsa szem előtt ezeket a tényezőket:
- Egy paraméterként átadott PowerShell-változóban rögzíthet
Credential. - Bármely Olyan Microsoft Entra-identitást megadhat, amely rendelkezik az ügynökök regisztrálásához szükséges engedélyekkel, és amelyeken nincs engedélyezve a többtényezős hitelesítés.
- Alapértelmezés szerint a globális rendszergazdák rendelkeznek az ügynökök regisztrálásához szükséges engedélyekkel. Ezt a lépést engedélyezheti a kevésbé jogosultsággal rendelkező identitások számára is. További információ: Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
A Microsoft Entra Connect Health-ügynökök konfigurálása HTTP-proxy használatára
Konfigurálhatja a Microsoft Entra Connect Health-ügynököket, hogy HTTP-proxyval működjenek.
Jegyzet
Netsh WinHttp set ProxyServerAddressnem támogatott. Az ügynök a Windows HTTP-szolgáltatások helyett System.Net használ a webes kérések intézéséhez.- A konfigurált HTTP-proxycím titkosított HTTPS-üzenetek továbbítására szolgál.
- A hitelesített proxyk (HTTPBasic használatával) nem támogatottak.
Az ügynökproxy konfigurációjának módosítása
Ha a Microsoft Entra Connect Health-ügynököt HTTP-proxy használatára szeretné konfigurálni, a következőkre van lehetőség:
- Importálja a meglévő proxybeállításokat.
- Adja meg manuálisan a proxycímeket.
- Törölje a meglévő proxykonfigurációt.
Jegyzet
A proxybeállítások frissítéséhez újra kell indítania a Microsoft Entra Connect Health-ügynök összes szolgáltatását. Az összes ügynök újraindításához futtassa a következő parancsot:
Restart-Service AzureADConnectHealthAgent*
Meglévő proxybeállítások importálása
Az Internet Explorer HTTP-proxybeállításainak importálásával a Microsoft Entra Connect Health-ügynökök használhatják a beállításokat. Az állapotügynököt futtató kiszolgálókon futtassa a következő PowerShell-parancsot:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Importálhatja a WinHTTP proxybeállításokat, hogy a Microsoft Entra Connect Health-ügynökök használhassák őket. Az állapotügynököt futtató kiszolgálókon futtassa a következő PowerShell-parancsot:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Proxycímek manuális megadása
A proxykiszolgálót manuálisan is megadhatja. Az állapotügynököt futtató kiszolgálókon futtassa a következő PowerShell-parancsot:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Íme egy példa:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
Ebben a példában:
- A
addressbeállítás lehet DNS-feloldható kiszolgálónév vagy IPv4-cím. - Kihagyhatja
port. Ha igen, a 443 az alapértelmezett port.
A meglévő proxykonfiguráció törlése
A meglévő proxykonfiguráció törléséhez futtassa a következő parancsot:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Az aktuális proxybeállítások olvasása
Az aktuális proxybeállításokat az alábbi parancs futtatásával olvashatja el:
Get-MicrosoftEntraConnectHealthProxySettings
A Microsoft Entra Connect Health szolgáltatáshoz való kapcsolódás tesztelése
A Microsoft Entra Connect Health-ügynök időnként elveszíti a kapcsolatot a Microsoft Entra Connect Health szolgáltatással. A kapcsolatvesztés okai közé tartozhatnak a hálózati problémák, az engedélyproblémák és a különböző egyéb problémák.
Ha az ügynök két óránál hosszabb ideig nem tud adatokat küldeni a Microsoft Entra Connect Health szolgáltatásnak, a következő riasztás jelenik meg a portálon: Állapotfigyelő szolgáltatás adatok nem naprakészek.
Az alábbi PowerShell-parancs futtatásával megtudhatja, hogy az érintett Microsoft Entra Connect Health-ügynök feltölthet-e adatokat a Microsoft Entra Connect Health szolgáltatásba:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
A Role paraméter jelenleg a következő értékeket veszi fel:
ADFSSyncADDS
Jegyzet
A kapcsolati eszköz használatához először regisztrálnia kell az ügynököt. Ha nem tudja elvégezni az ügynökregisztrációt, győződjön meg arról, hogy megfelel a Microsoft Entra Connect Health összes követelményének . A kapcsolat alapértelmezés szerint tesztelve van az ügynökregisztráció során.
Következő lépések
Tekintse meg a következő kapcsolódó cikkeket:
- Microsoft Entra Connect Health
- Microsoft Entra Connect Health-műveletek
- A Microsoft Entra Connect Health használata az AD FS-vel
- A Microsoft Entra Connect Health használata szinkronizáláshoz
- A Microsoft Entra Connect Health használata az AD Domain Services szolgáltatással
- Microsoft Entra Connect Health – gyakori kérdések
- A Microsoft Entra Connect Health verzióelőzményei