Bagikan melalui


Menginstal agen Microsoft Entra Connect Health

Dalam artikel ini, Anda mempelajari cara menginstal dan mengonfigurasi agen Microsoft Entra Connect Health.

Pelajari cara mengunduh agen.

Catatan

Microsoft Entra Connect Health tidak tersedia di sovereign cloud Tiongkok.

Persyaratan

Tabel berikut ini mencantumkan persyaratan untuk menggunakan Microsoft Entra Connect Health:

Persyaratan Deskripsi
Anda memiliki langganan Microsoft Entra ID P1 atau P2. Microsoft Entra Connect Health adalah fitur Microsoft Entra ID P1 atau P2. Untuk informasi selengkapnya, lihat Mendaftar untuk Microsoft Entra ID P1 atau P2.

Untuk memulai uji coba gratis 30 hari, lihat Memulai coba gratis.
Anda adalah Administrator Global di ID Microsoft Entra. Saat ini, hanya akun Administrator Global yang dapat menginstal dan mengonfigurasi agen kesehatan. Untuk informasi selengkapnya, lihat Mengelola direktori Microsoft Entra Anda.

Dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC), Anda dapat mengizinkan pengguna lain di organisasi Anda mengakses Microsoft Entra Connect Health. Untuk informasi selengkapnya, lihat Azure RBAC untuk Microsoft Entra Connect Health.

Penting: Gunakan akun kerja atau sekolah untuk memasang agen. Anda tidak dapat menggunakan akun Microsoft untuk menginstal agen. Untuk mengetahui informasi selengkapnya, lihat Mendaftar untuk Azure sebagai organisasi.
Agen Microsoft Entra Connect Health diinstal pada setiap server yang ditargetkan. Agen kesehatan harus dipasang dan dikonfigurasi pada server yang ditargetkan sehingga mereka dapat menerima data dan memberikan kemampuan pemantauan dan analitik.

Misalnya, untuk mendapatkan data dari infrastruktur Active Directory Federation Services (AD FS), Anda harus menginstal agen di server AD FS dan di server Web Proksi Aplikasi. Demikian pula, untuk mendapatkan data dari infrastruktur AD Domain Services lokal, Anda harus menginstal agen pada pengontrol domain.
Titik akhir layanan Azure memiliki konektivitas keluar. Selama penginstalan dan runtime, agen memerlukan konektivitas ke titik akhir layanan Microsoft Entra Connect Health. Jika firewall memblokir konektivitas keluar, tambahkan titik akhir konektivitas keluar ke daftar yang diizinkan.
Konektivitas keluar didasarkan pada alamat IP. Untuk mengetahui informasi tentang pemfilteran firewall berdasarkan alamat IP, lihat Rentang IP Azure.
Inspeksi TLS untuk lalu lintas keluar difilter atau dinonaktifkan. Langkah pendaftaran agen atau operasi pengunggahan data mungkin gagal jika ada inspeksi atau penghentian TLS untuk lalu lintas keluar di lapisan jaringan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan inspeksi TLS.
Port firewall pada server sedang menjalankan agen. Agen mengharuskan port firewall berikut terbuka sehingga dapat berkomunikasi dengan titik akhir layanan Microsoft Entra Connect Health:
- Port TCP 443
- Port TCP 5671

Versi terbaru agen tidak memerlukan port 5671. Meningkatkan ke versi terbaru sehingga hanya port 443 yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Port dan protokol yang diperlukan identitas hibrid.
Jika peningkatan keamanan di Internet Explorer diaktifkan, izinkan situs web yang ditentukan. Jika keamanan Internet Explorer ditingkatkan diaktifkan, izinkan situs web berikut pada server tempat Anda menginstal agen:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
- Server federasi untuk organisasi Anda yang dipercaya oleh ID Microsoft Entra (misalnya, https://sts.contoso.com).

Untuk mengetahui informasi selengkapnya, lihat Cara mengonfigurasi Internet Explorer. Jika Anda memiliki proksi di jaringan Anda, lihat catatan yang muncul di akhir tabel ini.
PowerShell versi 5.0 atau yang lebih baru diinstal. Windows Server 2016 menyertakan PowerShell versi 5.0.

Penting

Windows Server Core tidak mendukung penginstalan agen Microsoft Entra Connect Health.

Catatan

Jika Anda memiliki lingkungan yang sangat terkunci dan dibatasi, Anda perlu menambahkan lebih banyak URL daripada URL daftar tabel untuk keamanan yang ditingkatkan Internet Explorer. Selain itu, tambahkan URL yang tercantum dalam tabel di bagian berikutnya.

Penting

Jika Anda menginstal Sinkronisasi Microsoft Entra Connect menggunakan akun dengan peran administrator hibrid, agen akan berada dalam status dinonaktifkan. Untuk mengaktifkan agen, Anda harus menginstalnya kembali menggunakan akun yang merupakan administrator global.

Versi baru agen dan peningkatan otomatis

Jika versi baru agen kesehatan dirilis, agen yang sudah ada dan terinstal akan diperbarui secara otomatis.

Konektivitas keluar ke titik akhir layanan Azure

Selama penginstalan dan runtime, agen memerlukan konektivitas ke titik akhir layanan Microsoft Entra Connect Health. Jika firewall memblokir konektivitas keluar, pastikan URL dalam tabel berikut ini tidak diblokir secara default.

Jangan nonaktifkan pemantauan keamanan atau inspeksi URL ini. Sebagai gantinya, izinkan seperti Anda mengizinkan lalu lintas internet lainnya.

URL ini memungkinkan komunikasi dengan titik akhir layanan Microsoft Entra Connect Health. Nantinya dalam artikel ini, Anda akan mempelajari cara memeriksa konektivitas keluar menggunakan Test-MicrosoftEntraConnectHealthConnectivity.

Lingkungan domain Titik akhir layanan Azure yang diperlukan
Masyarakat umum - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Port: 5671 (Jika 5671 diblokir, agen kembali ke 443, tetapi kami sarankan Anda menggunakan port 5671. Titik akhir ini tidak diperlukan dalam versi terbaru agen.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Titik akhir ini hanya digunakan untuk tujuan penemuan selama pendaftaran.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Titik akhir ini hanya digunakan untuk tujuan penemuan selama pendaftaran.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Mengunduh agen

Untuk mengunduh dan menginstal agen Microsoft Entra Connect Health:

Memasang agen untuk AD FS

Untuk informasi tentang menginstal dan memantau Layanan Federasi Direktori Aktif dengan agen Microsoft Entra Connect Health, lihat Agen Microsoft Entra Connect Health untuk Layanan Federasi Direktori Aktif.

Menginstal agen untuk sinkronisasi

Agen Microsoft Entra Connect Health untuk sinkronisasi diinstal secara otomatis di versi terbaru Microsoft Entra Connect. Untuk menggunakan Microsoft Entra Connect untuk sinkronisasi, unduh versi terbaru Microsoft Entra Connect dan instal.

Untuk memverifikasi bahwa agen telah diinstal, cari layanan berikut di server. Jika Anda menyelesaikan konfigurasi, layanan harus sudah dijalankan. Jika tidak, layanan dihentikan sampai konfigurasi selesai.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Cuplikan layar yang memperlihatkan Microsoft Entra Connect Health yang sedang berjalan untuk layanan sinkronisasi di server.

Catatan

Ingatlah bahwa Anda harus memiliki Microsoft Entra ID P1 atau P2 untuk menggunakan Microsoft Entra Connect Health. Jika Anda tidak memiliki Microsoft Entra ID P1 atau P2, Anda tidak dapat menyelesaikan konfigurasi di pusat admin Microsoft Entra. Untuk mengetahui informasi selengkapnya, lihat persyaratan.

Mendaftarkan Microsoft Entra Connect Health secara manual untuk sinkronisasi

Jika Microsoft Entra Connect Health untuk pendaftaran agen sinkronisasi gagal setelah Anda berhasil menginstal Microsoft Entra Connect, Anda dapat menggunakan perintah PowerShell untuk mendaftarkan agen secara manual.

Penting

Gunakan perintah PowerShell ini hanya jika pendaftaran agen gagal setelah Anda menginstal Microsoft Entra Connect.

Daftarkan agen Microsoft Entra Connect Health secara manual untuk sinkronisasi dengan menggunakan perintah PowerShell berikut. Layanan Microsoft Entra Connect Health akan dimulai setelah agen berhasil didaftarkan.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Perintah mengambil parameter berikut:

  • AttributeFiltering: $true (default) jika Microsoft Entra Connect tidak menyinkronkan set atribut default dan telah disesuaikan untuk menggunakan set atribut yang difilter. Jika tidak, gunakan $false.
  • StagingMode: $false (default) jika server Microsoft Entra Connect tidak dalam mode penahapan. Jika server dikonfigurasi untuk berada dalam mode penahapan, gunakan $true.

Saat Diminta untuk autentikasi, gunakan akun Administrator Global yang sama (seperti admin@domain.onmicrosoft.com) yang Anda gunakan untuk mengonfigurasi Microsoft Entra Connect.

Menginstal agen untuk AD Domain Services

Untuk memulai penginstalan agen, klik dua kali pada file .exe yang Anda unduh. Di jendela pertama, pilih Pasang.

Cuplikan layar yang memperlihatkan jendela penginstalan agen Microsoft Entra Connect Health untuk AD DS.

Saat diminta, masuk dengan menggunakan akun Microsoft Entra yang memiliki izin untuk mendaftarkan agen. Secara default, akun Administrator Identitas Hibrid memiliki izin.

Cuplikan layar yang memperlihatkan jendela masuk untuk Microsoft Entra Connect Health AD DS.

Setelah Anda masuk, proses penginstalan akan selesai dan Anda dapat menutup jendela.

Cuplikan layar yang memperlihatkan pesan konfirmasi untuk penginstalan agen AD DS Microsoft Entra Connect Health.

Pada titik ini, layanan agen harus mulai secara otomatis memungkinkan agen mengunggah data yang diperlukan dengan aman ke layanan cloud.

Untuk memverifikasi bahwa agen telah dipasang, cari layanan berikut ini di server. Jika Anda menyelesaikannya, konfigurasi tersebut harus sudah dijalankan. Jika tidak, konfigurasi dihentikan hingga konfigurasi selesai.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Cuplikan layar yang memperlihatkan layanan AD DS Microsoft Entra Connect Health.

Pasang agen dengan cepat di beberapa server

  1. Buat akun pengguna di ID Microsoft Entra. Amankan akun dengan menggunakan kata sandi.

  2. Tetapkan peran Pemilik untuk akun Microsoft Entra lokal ini di Microsoft Entra Connect Health dengan menggunakan portal. Tetapkan peran untuk semua instans layanan.

  3. Unduh file MSI .exe di pengendali domain lokal untuk penginstalan.

  4. Jalankan skrip berikut. Ganti parameter dengan akun pengguna baru dan kata sandinya.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Setelah selesai, Anda bisa menghapus akses untuk akun lokal dengan menyelesaikan satu atau beberapa tugas berikut:

  • Hapus penetapan peran untuk akun lokal untuk Microsoft Entra Connect Health.
  • Putar kata sandi untuk akun lokal.
  • Nonaktifkan akun lokal Microsoft Entra.
  • Hapus akun lokal Microsoft Entra.

Daftarkan agen menggunakan PowerShell

Setelah menginstal file setup.exe agen yang relevan, Anda dapat mendaftarkan agen dengan menggunakan perintah PowerShell berikut, tergantung pada perannya. Buka PowerShell sebagai administrator dan jalankan perintah yang relevan:

Register-MicrosoftEntraConnectHealthAgent

Catatan

Untuk mendaftar terhadap sovereign cloud, gunakan baris perintah berikut:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Perintah ini menerima Credential sebagai parameter untuk menyelesaikan pendaftaran secara non-interaktif atau untuk menyelesaikan pendaftaran di komputer yang menjalankan Server Core. Ingatlah faktor-faktor ini:

  • Anda dapat mengambil Credential dalam variabel PowerShell yang diteruskan sebagai parameter.
  • Anda dapat memberikan identitas Microsoft Entra apa pun yang memiliki izin untuk mendaftarkan agen, dan yang tidak mengaktifkan autentikasi multifaktor.
  • Secara default, Administrator Global memiliki izin untuk mendaftarkan agen. Anda juga dapat mengizinkan identitas yang kurang istimewa untuk melakukan langkah ini. Untuk mengetahui informasi selengkapnya, lihat Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Mengonfigurasi agen Microsoft Entra Connect Health untuk menggunakan proksi HTTP

Anda dapat mengonfigurasi agen Microsoft Entra Connect Health untuk bekerja dengan proksi HTTP.

Catatan

  • Netsh WinHttp set ProxyServerAddress tidak didukung. Agen ini menggunakan System.Net bukan Layanan HTTP Windows untuk membuat permintaan web.
  • Alamat proksi HTTP yang dikonfigurasi digunakan untuk melewati pesan HTTPS terenkripsi.
  • Proksi terautentikasi (menggunakan HTTPBasic) tidak didukung.

Mengubah konfigurasi proksi agen

Untuk mengonfigurasi agen Microsoft Entra Connect Health untuk menggunakan proksi HTTP, Anda dapat:

  • Mengimpor pengaturan proksi yang ada.
  • Menentukan alamat proksi secara manual.
  • Menghapus konfigurasi proksi yang ada.

Catatan

Untuk memperbarui pengaturan proksi, Anda harus memulai ulang semua layanan agen Microsoft Entra Connect Health. Untuk memulai ulang semua agen, jalankan perintah berikut:

Restart-Service AzureADConnectHealthAgent*

Impor pengaturan proksi yang sudah ada

Anda dapat mengimpor pengaturan proksi HTTP Internet Explorer sehingga agen Microsoft Entra Connect Health dapat menggunakan pengaturan. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut ini:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Anda bisa mengimpor pengaturan proksi WinHTTP sehingga agen Microsoft Entra Connect Health bisa menggunakannya. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut ini:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Menentukan alamat proksi secara manual

Anda dapat menentukan server proksi secara manual. Pada setiap server yang menjalankan agen kesehatan, jalankan perintah PowerShell berikut ini:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Berikut contohnya:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Dalam contoh ini:

  • Pengaturan address bisa menjadi nama server yang dapat diselesaikan oleh DNS atau alamat IPv4.
  • Anda dapat menghapus port. Jika Anda melakukannya, 443 adalah port default.

Menghapus konfigurasi proksi yang ada

Anda dapat menghapus konfigurasi proksi yang ada dengan menjalankan perintah berikut:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Membaca pengaturan proksi saat ini

Anda dapat membaca pengaturan proksi saat ini dengan menjalankan perintah berikut ini:

Get-MicrosoftEntraConnectHealthProxySettings

Menguji konektivitas ke layanan Microsoft Entra Connect Health

Terkadang, agen Microsoft Entra Connect Health kehilangan konektivitas dengan layanan Microsoft Entra Connect Health. Penyebab hilangnya konektivitas ini mungkin termasuk masalah jaringan, masalah izin, dan berbagai masalah lainnya.

Jika agen tidak dapat mengirim data ke layanan Microsoft Entra Connect Health selama lebih dari dua jam, pemberitahuan berikut muncul di portal: Data Layanan Kesehatan tidak diperbarui.

Anda dapat mengetahui apakah agen Microsoft Entra Connect Health yang terpengaruh dapat mengunggah data ke layanan Microsoft Entra Connect Health dengan menjalankan perintah PowerShell berikut:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parameter Role saat ini mengambil nilai berikut:

  • ADFS
  • Sync
  • ADDS

Catatan

Untuk menggunakan alat konektivitas, Anda harus mendaftarkan agen terlebih dahulu. Jika Anda tidak dapat menyelesaikan pendaftaran agen, pastikan Anda memenuhi semua persyaratan untuk Microsoft Entra Connect Health. Konektivitas diuji secara default selama pendaftaran agen.

Langkah berikutnya

Lihat artikel terkait berikut ini: