Installare gli agenti di Azure AD Connect Health

Questo articolo descrive come installare e configurare gli agenti di Azure AD Connect Health.

Informazioni su come scaricare gli agenti.

Nota

Azure AD Connect Health non è disponibile nel cloud sovrano cinese.

Requisiti

La tabella seguente elenca i requisiti per l'uso di Azure AD Connect Health:

Requisito	Descrizione
Si ha una sottoscrizione di Azure Active Directory (Azure AD) Premium (P1 o P2).	Azure AD Connect Health è una funzionalità di Azure AD Premium (P1 o P2). Per altre informazioni, vedere Iscriversi ad Azure AD Premium. Per avviare una versione di valutazione gratuita di 30 giorni, vedere Avviare una versione di valutazione.
Si è un amministratore di identità ibrido in Azure AD.	Per impostazione predefinita, solo gli account amministratore di identità ibrida e amministratore globale possono installare e configurare gli agenti di integrità, accedere al portale ed eseguire qualsiasi operazione all'interno di Azure AD Connect Health. Per altre informazioni, vedere Amministrare la directory di Azure AD. Usando il controllo degli accessi in base al ruolo di Azure, è possibile consentire ad altri utenti dell'organizzazione di accedere ad Azure AD Connect Health. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure per Azure AD Connect Health. Importante: usare un account aziendale o dell'istituto di istruzione per installare gli agenti. Non è possibile usare un account Microsoft per installare gli agenti. Per altre informazioni, vedere Iscriversi ad Azure come organizzazione.
L'agente di Azure AD Connect Health è installato in ogni server di destinazione.	Gli agenti di integrità devono essere installati e configurati nei server di destinazione in modo che possano ricevere dati e fornire funzionalità di monitoraggio e analisi. Ad esempio, per ottenere dati dall'infrastruttura di Active Directory Federation Services (AD FS), è necessario installare l'agente nel server AD FS e nel server web Application Proxy. Analogamente, per ottenere dati dall'infrastruttura di Azure Active Directory Domain Services (Azure AD DS) locale, è necessario installare l'agente nei controller di dominio.
Gli endpoint del servizio Azure hanno connettività in uscita.	Durante l'installazione e la fase di esecuzione, l'agente richiede la connettività agli endpoint di servizio di Azure AD Connect Health. Se i firewall bloccano la connettività in uscita, aggiungere gli endpoint di connettività in uscita a un elenco elementi consentiti.
La connettività in uscita si basa su indirizzi IP.	Per informazioni sul filtro del firewall in base agli indirizzi IP, vedere Intervalli IP di Azure.
L'ispezione TLS per il traffico in uscita è filtrata o disabilitata.	Il passaggio di registrazione dell'agente o le operazioni di caricamento dei dati potrebbero non riuscire se è presente un'ispezione TLS o una terminazione per il traffico in uscita a livello di rete. Per altre informazioni, vedere Configurare l'ispezione TLS.
L'agente è in esecuzione nelle porte del firewall del server.	Per l'agente devono essere aperte le porte del firewall seguenti, per consentire la comunicazione con gli endpoint del servizio Azure AD Connect Health: - Porta TCP 443 - Porta TCP 5671 L'ultima versione dell'agente non richiede la porta 5671. Eseguire l'aggiornamento all'ultima versione in modo che sia necessaria solo la porta 443. Per altre informazioni, vedere Porte e protocolli necessari per l'identità ibrida.
Se la sicurezza avanzata di Internet Explorer è abilitata, consentire i siti Web specificati.	Se la sicurezza avanzata di Internet Explorer è abilitata, consentire i siti Web seguenti nel server in cui si installa l'agente: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - Il server federativo per l'organizzazione considerato attendibile da Azure AD (ad esempio, https://sts.contoso.com). Per altre informazioni, vedere Come configurare Internet Explorer. Se nella rete è presente un proxy, vedere la nota visualizzata alla fine di questa tabella.
Viene installato PowerShell versione 5.0 o successiva.	Windows Server 2016 include PowerShell versione 5.0.

Importante

Windows Server Core non supporta l'installazione dell'agente di Azure AD Connect Health.

Nota

Se si dispone di un ambiente altamente bloccato e con restrizioni, è necessario aggiungere più URL rispetto agli URL elencati nella tabella per la sicurezza avanzata di Internet Explorer. Aggiungere anche GLI URL elencati nella tabella nella sezione successiva.

Nuove versioni dell'agente e aggiornamento automatico

Se viene rilasciata una nuova versione dell'agente di integrità, gli agenti installati esistenti vengono aggiornati automaticamente.

Connettività in uscita agli endpoint di servizio di Azure

Durante l'installazione e il runtime, l'agente deve connettersi agli endpoint del servizio Azure AD Connect Health. Se i firewall bloccano la connettività in uscita, assicurarsi che gli URL nella tabella seguente non siano bloccati per impostazione predefinita.

Non disabilitare il monitoraggio della sicurezza o l'ispezione di questi URL. In alternativa, consentire loro come si consentirebbe altro traffico Internet.

Questi URL consentono la comunicazione con gli endpoint del servizio Azure AD Connect Health. Più avanti in questo articolo si apprenderà come controllare la connettività in uscita usando Test-AzureADConnectHealthConnectivity.

Ambiente di dominio	Endpoint del servizio di Azure richiesti
Pubblico generale	- *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Porta: 5671 (se 5671 è bloccato, l'agente esegue il fallback a 443, ma è consigliabile usare la porta 5671. Questo endpoint non è necessario nella versione più recente dell'agente. - *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com Questo endpoint viene usato solo a scopo di individuazione durante la registrazione. - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Germania	- *.blob.core.cloudapi.de - *.servicebus.cloudapi.de - *.aadconnecthealth.microsoftazure.de - https://management.microsoftazure.de - https://policykeyservice.aadcdi.microsoftazure.de - https://login.microsoftonline.de - https://secure.aadcdn.microsoftonline-p.de - https://www.office.de Questo endpoint viene usato solo a scopo di individuazione durante la registrazione. - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Government	- *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com Questo endpoint viene usato solo a scopo di individuazione durante la registrazione. - https://aadcdn.msftauth.net - https://aadcdn.msauth.net

Scaricare gli agenti

Per scaricare e installare l'agente di Azure AD Connect Health:

• Assicurarsi di soddisfare i requisiti per installare Azure AD Connect Health.
• Introduzione all'uso di Azure AD Connect Health per AD FS:
  • Scaricare l'agente di Azure AD Connect Health per AD FS.
  • Vedere le istruzioni di installazione.
• Introduzione all'uso di Azure AD Connect Health per la sincronizzazione:
  • Scaricare e installare la versione più recente di Azure AD Connect. L'agente di integrità per la sincronizzazione viene installato come parte dell'installazione di Azure AD Connect (versione 1.0.9125.0 o successiva).
• Introduzione all'uso di Azure AD Connect Health per Azure AD DS:
  • Scaricare l'agente di Azure AD Connect Health per Azure AD DS.
  • Vedere le istruzioni di installazione.

Installare l'agente per AD FS

Nota

Il server AD FS deve essere separato dal server di sincronizzazione. Non installare l'agente AD FS nel server di sincronizzazione.

Prima di installare l'agente, assicurarsi che il nome host del server AD FS sia univoco e che non sia presente nel servizio AD FS.

Per avviare l'installazione dell'agente, fare doppio clic sul file .exe scaricato. Nella prima finestra di dialogo selezionare Installa.

Al termine dell'installazione, selezionare Configura ora.

Viene aperta una finestra di PowerShell per avviare il processo di registrazione dell'agente. Quando viene richiesto, eseguire l'accesso usando un account Azure AD dotato delle autorizzazioni necessarie per registrare l'agente. Per impostazione predefinita, l'account Amministratore identità ibrida ha le autorizzazioni.

Dopo l'accesso, PowerShell continua l'installazione. e sarà possibile chiuderlo al termine dell'operazione. La configurazione è stata completata.

A questo punto, i servizi agente devono iniziare a consentire automaticamente all'agente di caricare in modo sicuro i dati necessari nel servizio cloud.

Se non sono stati soddisfatti tutti i prerequisiti, gli avvisi vengono visualizzati nella finestra di PowerShell. Assicurarsi di completare i requisiti prima di installare l'agente. Lo screenshot seguente mostra alcuni esempi di avvisi.

Per verificare che l'agente sia stato installato, cercare i servizi seguenti nel server. Questi servizi dovrebbero essere già in esecuzione se la configurazione è stata completata. In caso contrario, vengono arrestati fino al completamento della configurazione.

• Azure AD Connect Health AD FS Diagnostics Service
• Azure AD Connect Health AD FS Insights Service
• Azure AD Connect Health AD FS Monitoring Service

Abilitare il controllo per AD FS

Nota

Questa sezione si applica solo ai server AD FS. Non è necessario completare questi passaggi nei server Di Application Proxy Web.

La funzionalità Analisi utilizzo deve raccogliere e analizzare i dati, quindi l'agente azure AD Connect Health deve disporre delle informazioni nei log di controllo di AD FS. Questi log non sono abilitati per impostazione predefinita. Usare le procedure seguenti per abilitare il controllo di AD FS e individuare i log di controllo di AD FS nei server AD FS.

Per abilitare il controllo per ADFS in Windows Server 2012 R2

1. Nella schermata Start aprire Server Manager e quindi aprire Criteri di sicurezza locali. In alternativa, sulla barra delle applicazioni aprire Server Manager e quindi selezionare Strumenti/Criteri di sicurezza locali.

2. Passare alla cartella Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente . Fare doppio clic su Genera controlli di sicurezza.

3. Nella scheda Impostazioni di protezione locali verificare che sia elencato l'account del servizio ADFS. Se non è elencato, selezionare Aggiungi utente o gruppo e aggiungere l'account del servizio AD FS all'elenco. Quindi scegliere OK.

4. Per abilitare il controllo, aprire una finestra del prompt dei comandi come amministratore e quindi eseguire il comando seguente:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Chiudere Criteri di sicurezza locali.

   Importante

   I passaggi rimanenti sono necessari solo per i server AD FS primari.

6. Aprire lo snap-in Gestione AD FS. In Server Manager selezionare Strumenti>gestione AD FS.

7. Nel riquadro Azioni selezionare Modifica proprietà del servizio federativo.

8. Nella finestra di dialogo Proprietà servizio federativo selezionare la scheda Eventi .

9. Selezionare le caselle di controllo Success audits and Failure audits (Verifica esito positivo) e quindi selezionare OK.

10. Per abilitare la registrazione dettagliata tramite PowerShell, usare il comando seguente:

    Set-AdfsProperties -LOGLevel Verbose

Per abilitare il controllo per AD FS in Windows Server 2016

1. Nella schermata Start aprire Server Manager e quindi aprire Criteri di sicurezza locali. In alternativa, sulla barra delle applicazioni aprire Server Manager e quindi selezionare Strumenti/Criteri di sicurezza locali.

2. Passare alla cartella Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente . Fare doppio clic su Genera controlli di sicurezza.

3. Nella scheda Impostazioni di protezione locali verificare che sia elencato l'account del servizio ADFS. Se non è elencato, selezionare Aggiungi utente o gruppo e aggiungere l'account del servizio AD FS all'elenco. Quindi scegliere OK.

4. Per abilitare il controllo, aprire una finestra del prompt dei comandi come amministratore e quindi eseguire il comando seguente:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Chiudere Criteri di sicurezza locali.

   Importante

   I passaggi rimanenti sono necessari solo per i server AD FS primari.

6. Aprire lo snap-in Gestione AD FS. In Server Manager selezionare Strumenti>gestione AD FS.

7. Nel riquadro Azioni selezionare Modifica proprietà del servizio federativo.

8. Nella finestra di dialogo Proprietà servizio federativo selezionare la scheda Eventi .

9. Selezionare le caselle di controllo Success audits and Failure audits (Verifica esito positivo) e quindi selezionare OK. I controlli di esito positivo e i controlli degli errori devono essere abilitati per impostazione predefinita.

10. Aprire una finestra di PowerShell ed eseguire il comando seguente:

    Set-AdfsProperties -AuditLevel Verbose

Il livello di controllo "basic" è abilitato per impostazione predefinita. Per altre informazioni, vedere Miglioramento del controllo AD FS in Windows Server 2016.

Per individuare i log di controllo di ADFS

1. Aprire Visualizzatore eventi.

2. Passare a Log di Windows e quindi selezionare Sicurezza.

3. Nel riquadro destro selezionare Filtra i log correnti.

4. Per Origini eventi selezionare Controllo AD FS.

   Per altre informazioni sui log di controllo, vedere Domande sulle operazioni.

   

Avviso

Un oggetto Criteri di gruppo può disabilitare il controllo di AD FS. Se il controllo di AD FS è disabilitato, l'analisi dell'utilizzo sulle attività di accesso non è disponibile. Assicurarsi di non avere criteri di gruppo che disabilitano il controllo AD FS.

Installare l'agente per la sincronizzazione

L'agente di Azure AD Connect Health per la sincronizzazione viene installato automaticamente nella versione più recente di Azure AD Connect. Per usare Azure AD Connect per la sincronizzazione, scaricare la versione più recente di Azure AD Connect e installarla.

Per verificare che l'agente sia stato installato, cercare i servizi seguenti nel server. Se la configurazione è stata completata, i servizi dovrebbero già essere in esecuzione. In caso contrario, vengono arrestati fino al completamento della configurazione.

• Azure AD Connect Health Sync Insights Service
• Azure AD Connect Health Sync Monitoring Service

Nota

Tenere presente che è necessario disporre di Azure AD Premium (P1 o P2) per usare Azure AD Connect Health. Se Azure AD Premium non è disponibile, non è possibile completare la configurazione nel portale di Azure. Per altre informazioni, vedere i requisiti.

Registrare manualmente Azure AD Connect Health per la sincronizzazione

Se la registrazione dell'agente di sincronizzazione di Azure AD Connect health non riesce dopo aver installato correttamente Azure AD Connect, è possibile usare un comando di PowerShell per registrare manualmente l'agente.

Importante

Usare questo comando di PowerShell solo se la registrazione dell'agente ha esito negativo dopo l'installazione di Azure AD Connect.

Registrare manualmente l'agente azure AD Connect Health per la sincronizzazione usando il comando powerShell seguente. I servizi di Azure AD Connect Health verranno avviati dopo la corretta registrazione dell'agente.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

Il comando accetta i parametri seguenti:

• AttributeFiltering: $true (impostazione predefinita) se Azure AD Connect non sincronizza il set di attributi predefinito ed è stato personalizzato per usare un set di attributi filtrato. In caso contrario, usare $false.
• StagingMode: $false (impostazione predefinita) se il server Azure AD Connect non è in modalità di gestione temporanea. Se il server è configurato per essere in modalità di gestione temporanea, usare $true.

Quando viene richiesta l'autenticazione, usare lo stesso account amministratore globale (ad esempio admin@domain.onmicrosoft.com) usato per configurare Azure AD Connect.

Installare l'agente per Azure AD DS

Per avviare l'installazione dell'agente, fare doppio clic sul file EXE scaricato. Nella prima finestra selezionare Installa.

Al termine dell'installazione, selezionare Configura ora.

Verrà visualizzata una finestra del prompt dei comandi. PowerShell esegue Register-AzureADConnectHealthADDSAgent. Quando viene richiesto, accedere ad Azure.

Dopo l'accesso, PowerShell rimane aperto e sarà possibile chiuderlo al termine dell'operazione. La configurazione è stata completata.

A questo punto, i servizi devono essere avviati automaticamente, consentendo all'agente di monitorare e raccogliere dati. Se non sono stati soddisfatti tutti i prerequisiti descritti nelle sezioni precedenti, gli avvisi vengono visualizzati nella finestra di PowerShell. Assicurarsi di completare i requisiti prima di installare l'agente. Lo screenshot seguente mostra alcuni esempi di avvisi.

Per verificare che l'agente sia installato, cercare i servizi seguenti nel controller di dominio:

• Azure AD Connect Health AD DS Insights Service
• Azure AD Connect Health AD DS Monitoring Service

Se la configurazione è stata completata, questi servizi dovrebbero già essere in esecuzione. In caso contrario, vengono arrestati fino al termine della configurazione.

Installare rapidamente l'agente in più server

1. Creare un account utente in Azure AD. Proteggere l'account usando una password.

2. Assegnare il ruolo Proprietario per questo account Azure AD locale in Azure AD Connect Health usando il portale. Assegnare il ruolo a tutte le istanze del servizio.

3. Scaricare il file MSI.exe nel controller di dominio locale per l'installazione.

4. Eseguire lo script seguente. Sostituire i parametri con il nuovo account utente e la relativa password.

   AdHealthAddsAgentSetup.exe /quiet
   Start-Sleep 30
   $userName = "NEWUSER@DOMAIN"
   $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
   $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
   import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
   
   Register-AzureADConnectHealthADDSAgent -Credential $myCreds
   

Al termine, è possibile rimuovere l'accesso per l'account locale completando una o più delle attività seguenti:

• Rimuovere l'assegnazione di ruolo per l'account locale per Azure AD Connect Health.
• Ruotare la password per l'account locale.
• Disabilitare l'account locale di Azure AD.
• Eliminare l'account locale di Azure AD.

Registrare l'agente usando PowerShell

Dopo aver installato il file di setup.exe agente pertinente, è possibile registrare l'agente usando i comandi di PowerShell seguenti, a seconda del ruolo. Aprire PowerShell come amministratore ed eseguire il comando pertinente:

Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

Nota

Per eseguire la registrazione nei cloud sovrani, usare le righe di comando seguenti:

Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

Questi comandi accettano Credential come parametro per completare la registrazione in modo non interattivo o per completare la registrazione in un computer che esegue Server Core. Tenere presenti questi fattori:

• È possibile acquisire Credential in una variabile di PowerShell passata come parametro.
• È possibile fornire qualsiasi identità di Azure AD con autorizzazioni per registrare gli agenti e che non dispone dell'autenticazione a più fattori abilitata.
• Per impostazione predefinita, gli amministratori globali hanno le autorizzazioni per registrare gli agenti. È anche possibile consentire alle identità con privilegi minori di eseguire questo passaggio. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure.

    $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

Configurare gli agenti di Azure AD Connect Health per l'uso del proxy HTTP

È possibile configurare gli agenti di Azure AD Connect Health per l'uso con un proxy HTTP.

Nota

• Netsh WinHttp set ProxyServerAddress non è supportata. L'agente usa System.Net anziché i servizi HTTP Windows per effettuare richieste Web.
• L'indirizzo proxy HTTP configurato viene usato per passare messaggi HTTPS crittografati.
• I proxy autenticati (con HTTPBasic) non sono supportati.

Modificare la configurazione del proxy dell'agente

Per configurare l'agente di Azure AD Connect Health per l'uso di un proxy HTTP, è possibile:

• Importare le impostazioni proxy esistenti.
• Specificare manualmente gli indirizzi proxy.
• Cancellare la configurazione del proxy esistente.

Nota

Per aggiornare le impostazioni proxy, è necessario riavviare tutti i servizi agente di Azure AD Connect Health. Per riavviare tutti gli agenti, eseguire il comando seguente:

Restart-Service AdHealthAdfs*

Importare le impostazioni proxy esistenti

È possibile importare le impostazioni proxy HTTP di Internet Explorer in modo che gli agenti di Azure AD Connect Health possano usare le impostazioni. In ognuno dei server che eseguono l'agente di integrità, eseguire il comando di PowerShell seguente:

Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

È possibile importare le impostazioni proxy WinHTTP in modo che gli agenti di Azure AD Connect Health possano usarle. In ognuno dei server che eseguono l'agente di integrità, eseguire il comando di PowerShell seguente:

Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

Specificare manualmente gli indirizzi proxy

È possibile specificare manualmente un server proxy. In ognuno dei server che eseguono l'agente di integrità, eseguire il comando di PowerShell seguente:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

Ecco un esempio:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Esempio:

• L'impostazione address può essere un nome server risolvibile dns o un indirizzo IPv4.
• È possibile omettere port. In questo caso, 443 è la porta predefinita.

Cancellare la configurazione del proxy esistente

È possibile eseguire il comando seguente per cancellare la configurazione del proxy esistente:

Set-AzureAdConnectHealthProxySettings -NoProxy

Leggere le impostazioni del proxy correnti

È possibile leggere le impostazioni proxy correnti eseguendo il comando seguente:

Get-AzureAdConnectHealthProxySettings

Testare la connettività al servizio Azure AD Connect Health

In alcuni casi, l'agente di Azure AD Connect Health perde la connettività con il servizio Azure AD Connect Health. Le cause di questa perdita di connettività possono includere problemi di rete, problemi di autorizzazioni e altri problemi.

Se l'agente non può inviare dati al servizio Azure AD Connect Health per più di due ore, nel portale viene visualizzato l'avviso seguente: i dati del servizio integrità non sono aggiornati.

È possibile verificare se l'agente di Azure AD Connect Health interessato può caricare i dati nel servizio Azure AD Connect Health eseguendo il comando di PowerShell seguente:

Test-AzureADConnectHealthConnectivity -Role ADFS

Il Role parametro accetta attualmente i valori seguenti:

• ADFS
• Sync
• ADDS

Nota

Per usare lo strumento di connettività, è prima necessario registrare l'agente. Se non è possibile completare la registrazione dell'agente, assicurarsi di soddisfare tutti i requisiti per Azure AD Connect Health. La connettività viene testata per impostazione predefinita durante la registrazione dell'agente.

Passaggi successivi

Vedere gli articoli correlati seguenti:

• Azure AD Connect Health
• Operazioni di Azure AD Connect Health
• Uso di Azure AD Connect Health con AD FS
• Uso di Azure AD Connect Health per la sincronizzazione
• Uso di Azure AD Connect Health con Azure AD DS
• Domande frequenti su Azure AD Connect Health
• Cronologia delle versioni di Azure AD Connect Health