Menginstal agen Microsoft Entra Connect Health
Dalam artikel ini, Anda mempelajari cara menginstal dan mengonfigurasi agen Microsoft Entra Connect Health.
Pelajari cara mengunduh agen.
Nota
Microsoft Entra Connect Health tidak tersedia di sovereign cloud Tiongkok.
Persyaratan
Tabel berikut ini mencantumkan persyaratan untuk menggunakan Microsoft Entra Connect Health:
| Syarat | Deskripsi |
|---|---|
| Anda memiliki langganan Microsoft Entra ID P1 atau P2. | Microsoft Entra Connect Health adalah fitur Microsoft Entra ID P1 atau P2. Untuk informasi selengkapnya, lihat Mendaftar untuk Microsoft Entra ID P1 atau P2. Untuk memulai uji coba gratis selama 30 hari, lihat Memulai uji coba. |
| Anda adalah Administrator Global di ID Microsoft Entra. | Saat ini, hanya akun Administrator Global yang dapat menginstal dan mengonfigurasi agen kesehatan. Untuk informasi selengkapnya, lihat Mengelola direktori Microsoft Entra Anda. Dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC), Anda dapat mengizinkan pengguna lain di organisasi Anda mengakses Microsoft Entra Connect Health. Untuk informasi selengkapnya, lihat Azure RBAC untuk Microsoft Entra Connect Health. Penting: Gunakan akun kerja atau sekolah untuk menginstal agen. Anda tidak dapat menggunakan akun Microsoft untuk menginstal agen. Untuk informasi selengkapnya, lihat Mendaftar azure sebagai organisasi. |
| Agen Microsoft Entra Connect Health diinstal pada setiap server yang ditargetkan. | Agen kesehatan harus diinstal dan dikonfigurasi pada server yang ditargetkan sehingga mereka dapat menerima data dan menyediakan kemampuan pemantauan dan analitik. Misalnya, untuk mendapatkan data dari infrastruktur Active Directory Federation Services (AD FS), Anda harus menginstal agen di server AD FS dan di server Web Proksi Aplikasi. Demikian pula, untuk mendapatkan data dari infrastruktur AD Domain Services lokal, Anda harus menginstal agen pada pengontrol domain. |
| Titik akhir layanan Azure memiliki konektivitas keluar. | Selama penginstalan dan runtime, agen memerlukan konektivitas ke titik akhir layanan Microsoft Entra Connect Health. Jika firewall memblokir konektivitas keluar, tambahkan titik akhir konektivitas keluar ke daftar yang diizinkan. |
| Konektivitas keluar didasarkan pada alamat IP. | Untuk informasi tentang pemfilteran firewall berdasarkan alamat IP, lihat Rentang IP Azure. |
| Inspeksi TLS untuk lalu lintas keluar difilter atau dinonaktifkan. | Langkah pendaftaran agen atau operasi pengunggahan data mungkin gagal jika ada inspeksi atau penghentian TLS untuk lalu lintas keluar di lapisan jaringan. Untuk informasi selengkapnya, lihat Menyiapkan inspeksi TLS. |
| Port firewall pada server menjalankan agen. | Agen mengharuskan port firewall berikut terbuka sehingga dapat berkomunikasi dengan titik akhir layanan Microsoft Entra Connect Health: - Port TCP 443 - Port TCP 5671 Versi terbaru agen tidak memerlukan port 5671. Tingkatkan ke versi terbaru sehingga hanya port 443 yang diperlukan. Untuk informasi selengkapnya, lihat Port dan protokol yang diperlukan identitas hibrid. |
| Jika keamanan Internet Explorer ditingkatkan diaktifkan, izinkan situs web tertentu. | Jika keamanan Internet Explorer ditingkatkan diaktifkan, izinkan situs web berikut pada server tempat Anda menginstal agen: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - Server federasi untuk organisasi Anda yang dipercaya oleh ID Microsoft Entra (misalnya, https://sts.contoso.com). Untuk informasi selengkapnya, lihat Cara mengonfigurasi Internet Explorer. Jika Anda memiliki proksi di jaringan Anda, lihat catatan yang muncul di akhir tabel ini. |
| PowerShell versi 5.0 atau yang lebih baru diinstal. | Windows Server 2016 menyertakan PowerShell versi 5.0. |
Penting
Windows Server Core tidak mendukung penginstalan agen Microsoft Entra Connect Health.
Nota
Jika Anda memiliki lingkungan yang sangat terkunci dan dibatasi, Anda perlu menambahkan lebih banyak URL daripada URL daftar tabel untuk keamanan yang ditingkatkan Internet Explorer. Tambahkan juga URL yang tercantum dalam tabel di bagian berikutnya.
Penting
Jika Anda menginstal Sinkronisasi Microsoft Entra Connect menggunakan akun dengan peran administrator hibrid, agen akan berada dalam status dinonaktifkan. Untuk mengaktifkan agen, Anda harus menginstalnya kembali menggunakan akun yang merupakan administrator global.
Versi baru agen dan peningkatan otomatis
Jika versi baru agen kesehatan dirilis, agen yang sudah ada dan terinstal akan diperbarui secara otomatis.
Konektivitas keluar ke titik akhir layanan Azure
Selama penginstalan dan runtime, agen memerlukan konektivitas ke titik akhir layanan Microsoft Entra Connect Health. Jika firewall memblokir konektivitas keluar, pastikan URL dalam tabel berikut tidak diblokir secara default.
Jangan nonaktifkan pemantauan keamanan atau inspeksi URL ini. Sebagai gantinya, izinkan mereka karena Anda akan mengizinkan lalu lintas internet lainnya.
URL ini memungkinkan komunikasi dengan titik akhir layanan Microsoft Entra Connect Health. Nanti dalam artikel ini, Anda akan mempelajari cara memeriksa konektivitas keluar dengan menggunakan Test-MicrosoftEntraConnectHealthConnectivity.
| Lingkungan domain | Titik akhir layanan Azure yang diperlukan |
|---|---|
| Publik umum | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Port: 5671 (Jika 5671 diblokir, agen kembali ke 443, tetapi kami sarankan Anda menggunakan port 5671. Titik akhir ini tidak diperlukan dalam versi terbaru agen.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Titik akhir ini hanya digunakan untuk tujuan penemuan selama pendaftaran.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Titik akhir ini hanya digunakan untuk tujuan penemuan selama pendaftaran.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Mengunduh agen
Untuk mengunduh dan menginstal agen Microsoft Entra Connect Health:
- Pastikan Anda memenuhi persyaratan untuk menginstal Microsoft Entra Connect Health.
- Mulai menggunakan Microsoft Entra Connect Health untuk Layanan Federasi Direktori Aktif:
- Mulai menggunakan Microsoft Entra Connect Health untuk sinkronisasi:
- Unduh dan instal versi terbaru Microsoft Entra Connect. Agen kesehatan untuk sinkronisasi diinstal sebagai bagian dari penginstalan Microsoft Entra Connect (versi 1.0.9125.0 atau yang lebih baru).
- Mulai menggunakan Microsoft Entra Connect Health untuk Ad Domain Services:
Menginstal agen untuk Layanan Federasi Direktori Aktif
Untuk informasi tentang menginstal dan memantau Layanan Federasi Direktori Aktif dengan agen Microsoft Entra Connect Health, lihat Agen Microsoft Entra Connect Health untuk Layanan Federasi Direktori Aktif.
Menginstal agen untuk sinkronisasi
Agen Microsoft Entra Connect Health untuk sinkronisasi diinstal secara otomatis di versi terbaru Microsoft Entra Connect. Untuk menggunakan Microsoft Entra Connect untuk sinkronisasi, unduh versi terbaru Microsoft Entra Connect dan instal.
Untuk memverifikasi bahwa agen telah diinstal, cari layanan berikut di server. Jika Anda menyelesaikan konfigurasi, layanan harus sudah berjalan. Jika tidak, layanan dihentikan hingga konfigurasi selesai.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Nota
Ingatlah bahwa Anda harus memiliki Microsoft Entra ID P1 atau P2 untuk menggunakan Microsoft Entra Connect Health. Jika Anda tidak memiliki Microsoft Entra ID P1 atau P2, Anda tidak dapat menyelesaikan konfigurasi di pusat admin Microsoft Entra. Untuk informasi selengkapnya, lihat persyaratannya.
Mendaftarkan Microsoft Entra Connect Health secara manual untuk sinkronisasi
Jika Microsoft Entra Connect Health untuk pendaftaran agen sinkronisasi gagal setelah Anda berhasil menginstal Microsoft Entra Connect, Anda dapat menggunakan perintah PowerShell untuk mendaftarkan agen secara manual.
Penting
Gunakan perintah PowerShell ini hanya jika pendaftaran agen gagal setelah Anda menginstal Microsoft Entra Connect.
Daftarkan agen Microsoft Entra Connect Health secara manual untuk sinkronisasi dengan menggunakan perintah PowerShell berikut. Layanan Microsoft Entra Connect Health akan dimulai setelah agen berhasil didaftarkan.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
Perintah mengambil parameter berikut:
AttributeFiltering:$true(default) jika Microsoft Entra Connect tidak menyinkronkan set atribut default dan telah disesuaikan untuk menggunakan set atribut yang difilter. Jika tidak, gunakan$false.StagingMode:$false(default) jika server Microsoft Entra Connect tidak dalam mode penahapan. Jika server dikonfigurasi untuk berada dalam mode penahapan, gunakan$true.
Saat Diminta untuk autentikasi, gunakan akun Administrator Global yang sama (seperti admin@domain.onmicrosoft.com) yang Anda gunakan untuk mengonfigurasi Microsoft Entra Connect.
Menginstal agen untuk AD Domain Services
Untuk memulai penginstalan agen, klik dua kali file .exe yang Anda unduh. Di jendela pertama, pilih Instal.
Saat diminta, masuk dengan menggunakan akun Microsoft Entra yang memiliki izin untuk mendaftarkan agen. Secara default, akun Administrator Identitas Hibrid memiliki izin.
Setelah Anda masuk, proses penginstalan akan selesai dan Anda dapat menutup jendela.
Pada titik ini, layanan agen harus mulai secara otomatis memungkinkan agen mengunggah data yang diperlukan dengan aman ke layanan cloud.
Untuk memverifikasi bahwa agen telah diinstal, cari layanan berikut di server. Jika Anda menyelesaikan konfigurasi, konfigurasi tersebut harus sudah berjalan. Jika tidak, konfigurasi dihentikan hingga konfigurasi selesai.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Menginstal agen dengan cepat di beberapa server
Buat akun pengguna di ID Microsoft Entra. Amankan akun dengan menggunakan kata sandi.
Tetapkan peran Pemilik untuk akun Microsoft Entra lokal ini di Microsoft Entra Connect Health dengan menggunakan portal. Tetapkan peran ke semua instans layanan.
Unduh file MSI .exe di pengontrol domain lokal untuk penginstalan.
Jalankan skrip berikut. Ganti parameter dengan akun pengguna baru Anda dan kata sandinya.
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Setelah selesai, Anda bisa menghapus akses untuk akun lokal dengan menyelesaikan satu atau beberapa tugas berikut:
- Hapus penetapan peran untuk akun lokal untuk Microsoft Entra Connect Health.
- Putar kata sandi untuk akun lokal.
- Nonaktifkan akun lokal Microsoft Entra.
- Hapus akun lokal Microsoft Entra.
Mendaftarkan agen dengan menggunakan PowerShell
Setelah menginstal file setup.exe agen yang relevan, Anda dapat mendaftarkan agen dengan menggunakan perintah PowerShell berikut, tergantung pada perannya. Buka PowerShell sebagai administrator dan jalankan perintah yang relevan:
Register-MicrosoftEntraConnectHealthAgent
Nota
Untuk mendaftar terhadap sovereign cloud, gunakan baris perintah berikut:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Perintah ini menerima Credential sebagai parameter untuk menyelesaikan pendaftaran secara non-interaktif atau untuk menyelesaikan pendaftaran di komputer yang menjalankan Server Core. Ingatlah faktor-faktor ini:
- Anda dapat mengambil
Credentialdalam variabel PowerShell yang diteruskan sebagai parameter. - Anda dapat memberikan identitas Microsoft Entra apa pun yang memiliki izin untuk mendaftarkan agen, dan yang tidak mengaktifkan autentikasi multifaktor.
- Secara default, Administrator Global memiliki izin untuk mendaftarkan agen. Anda juga dapat mengizinkan identitas yang kurang istimewa untuk melakukan langkah ini. Untuk informasi selengkapnya, lihat Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Mengonfigurasi agen Microsoft Entra Connect Health untuk menggunakan proksi HTTP
Anda dapat mengonfigurasi agen Microsoft Entra Connect Health untuk bekerja dengan proksi HTTP.
Nota
Netsh WinHttp set ProxyServerAddresstidak didukung. Agen menggunakan System.Net alih-alih Windows HTTP Services untuk membuat permintaan web.- Alamat proksi HTTP yang dikonfigurasi digunakan untuk melewati pesan HTTPS terenkripsi.
- Proksi terautentikasi (menggunakan HTTPBasic) tidak didukung.
Mengubah konfigurasi proksi agen
Untuk mengonfigurasi agen Microsoft Entra Connect Health untuk menggunakan proksi HTTP, Anda dapat:
- Impor pengaturan proksi yang ada.
- Tentukan alamat proksi secara manual.
- Hapus konfigurasi proksi yang ada.
Nota
Untuk memperbarui pengaturan proksi, Anda harus memulai ulang semua layanan agen Microsoft Entra Connect Health. Untuk memulai ulang semua agen, jalankan perintah berikut:
Restart-Service AzureADConnectHealthAgent*
Mengimpor pengaturan proksi yang ada
Anda dapat mengimpor pengaturan proksi HTTP Internet Explorer sehingga agen Microsoft Entra Connect Health dapat menggunakan pengaturan. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Anda bisa mengimpor pengaturan proksi WinHTTP sehingga agen Microsoft Entra Connect Health bisa menggunakannya. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Tentukan alamat proksi secara manual
Anda dapat menentukan server proksi secara manual. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Berikut adalah contohnya:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
Dalam contoh ini:
- Pengaturannya
addressbisa berupa nama server yang dapat diselesaikan DNS atau alamat IPv4. - Anda dapat menghilangkan
port. Jika Anda melakukannya, 443 adalah port default.
Menghapus konfigurasi proksi yang ada
Anda dapat menghapus konfigurasi proksi yang ada dengan menjalankan perintah berikut:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Membaca pengaturan proksi saat ini
Anda dapat membaca pengaturan proksi saat ini dengan menjalankan perintah berikut:
Get-MicrosoftEntraConnectHealthProxySettings
Menguji konektivitas ke layanan Microsoft Entra Connect Health
Terkadang, agen Microsoft Entra Connect Health kehilangan konektivitas dengan layanan Microsoft Entra Connect Health. Penyebab hilangnya konektivitas ini mungkin termasuk masalah jaringan, masalah izin, dan berbagai masalah lainnya.
Jika agen tidak dapat mengirim data ke layanan Microsoft Entra Connect Health selama lebih dari dua jam, pemberitahuan berikut muncul di portal: Data Layanan Kesehatan tidak diperbarui.
Anda dapat mengetahui apakah agen Microsoft Entra Connect Health yang terpengaruh dapat mengunggah data ke layanan Microsoft Entra Connect Health dengan menjalankan perintah PowerShell berikut:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Parameter Role saat ini mengambil nilai berikut:
ADFSSyncADDS
Nota
Untuk menggunakan alat konektivitas, Anda harus terlebih dahulu mendaftarkan agen. Jika Anda tidak dapat menyelesaikan pendaftaran agen, pastikan Anda memenuhi semua persyaratan untuk Microsoft Entra Connect Health. Konektivitas diuji secara default selama pendaftaran agen.
Langkah berikutnya
Lihat artikel terkait berikut ini:
- Microsoft Entra Connect Health
- Operasi Microsoft Entra Connect Health
- Menggunakan Microsoft Entra Connect Health dengan Layanan Federasi Direktori Aktif
- Menggunakan Microsoft Entra Connect Health untuk sinkronisasi
- Menggunakan Microsoft Entra Connect Health dengan AD Domain Services
- Tanya Jawab Umum Microsoft Entra Connect Health
- Riwayat versi Microsoft Entra Connect Health