Instalowanie agentów usługi Microsoft Entra Połączenie Health

  • Artykuł

Z tego artykułu dowiesz się, jak zainstalować i skonfigurować agentów microsoft Entra Połączenie Health.

Dowiedz się, jak pobrać agentów.

Uwaga

Firma Microsoft Entra Połączenie Health nie jest dostępna w suwerennej chmurze w Chinach.

Wymagania

W poniższej tabeli wymieniono wymagania dotyczące korzystania z usługi Microsoft Entra Połączenie Health:

Wymaganie opis
Masz subskrypcję microsoft Entra ID P1 lub P2. Microsoft Entra Połączenie Health to funkcja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Rejestrowanie się w usłudze Microsoft Entra ID P1 lub P2.

Aby skorzystać z bezpłatnej 30-dniowej wersji próbnej, zobacz Włączanie wersji próbnej.
Jesteś administratorem globalnym w usłudze Microsoft Entra ID. Obecnie tylko konta globalnego Administracja istratora mogą instalować i konfigurować agentów kondycji. Aby uzyskać więcej informacji, zobacz Administracja stering katalogu Microsoft Entra.

Korzystając z kontroli dostępu opartej na rolach (RBAC) platformy Azure, możesz zezwolić innym użytkownikom w organizacji na dostęp do usługi Microsoft Entra Połączenie Health. Aby uzyskać więcej informacji, zobacz Azure RBAC for Microsoft Entra Połączenie Health.

Ważne: użyj konta służbowego, aby zainstalować agentów. Nie można użyć konta Microsoft do zainstalowania agentów. Aby uzyskać więcej informacji, zobacz Tworzenie konta na platformie Azure jako organizacja.
Agent microsoft Entra Połączenie Health jest instalowany na każdym serwerze docelowym. Agenci kondycji muszą być zainstalowani i skonfigurowani na serwerach docelowych, aby mogli odbierać dane i zapewniać możliwości monitorowania i analizy.

Aby na przykład pobrać dane z infrastruktury usług Active Directory Federation Services (AD FS), należy zainstalować agenta na serwerze usług AD FS i na serwerze serwer proxy aplikacji sieci Web. Podobnie, aby pobrać dane z lokalnej infrastruktury usług AD Domain Services, należy zainstalować agenta na kontrolerach domeny.
Punkty końcowe usługi platformy Azure mają łączność wychodzącą. Podczas instalacji i środowiska uruchomieniowego agent wymaga łączności z punktami końcowymi usługi Microsoft Entra Połączenie Health. Jeśli zapory blokują łączność wychodzącą, dodaj punkty końcowe łączności wychodzącej do listy dozwolonych .
Łączność wychodząca jest oparta na adresach IP. Aby uzyskać informacje na temat filtrowania zapory na podstawie adresów IP, zobacz Zakresy adresów IP platformy Azure.
Inspekcja protokołu TLS dla ruchu wychodzącego jest filtrowana lub wyłączona. Krok rejestracji agenta lub operacje przekazywania danych mogą zakończyć się niepowodzeniem, jeśli w warstwie sieciowej występuje inspekcja protokołu TLS lub zakończenie ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji protokołu TLS.
Porty zapory na serwerze uruchamiają agenta. Agent wymaga otwarcia następujących portów zapory, aby umożliwić komunikację z punktami końcowymi usługi Microsoft Entra Połączenie Health:
- Port TCP 443
- Port TCP 5671

Najnowsza wersja agenta nie wymaga portu 5671. Uaktualnij do najnowszej wersji, aby wymagany był tylko port 443. Aby uzyskać więcej informacji, zobacz Wymagane porty i protokoły tożsamości hybrydowej.
Jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer, zezwalaj na określone witryny sieci Web. Jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer, zezwól na następujące witryny internetowe na serwerze, na którym jest instalowany agent:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
— Serwer federacyjny organizacji, który jest zaufany przez identyfikator Firmy Microsoft Entra (na przykład https://sts.contoso.com).

Aby uzyskać więcej informacji, zobacz Jak skonfigurować program Internet Explorer. Jeśli masz serwer proxy w sieci, zobacz notatkę wyświetlaną na końcu tej tabeli.
Zainstalowano program PowerShell w wersji 5.0 lub nowszej. System Windows Server 2016 zawiera program PowerShell w wersji 5.0.

Ważne

System Windows Server Core nie obsługuje instalowania agenta Microsoft Entra Połączenie Health.

Uwaga

Jeśli masz wysoce zablokowane i ograniczone środowisko, musisz dodać więcej adresów URL niż adresy URL listy tabel dla zwiększonych zabezpieczeń programu Internet Explorer. Dodaj również adresy URL wymienione w tabeli w następnej sekcji.

Nowe wersje agenta i automatyczne uaktualnianie

Jeśli zostanie wydana nowa wersja agenta kondycji, wszystkie istniejące, zainstalowane agenty zostaną automatycznie zaktualizowane.

Łączność wychodząca z punktami końcowymi usługi platformy Azure

Podczas instalacji i środowiska uruchomieniowego agent musi mieć łączność z punktami końcowymi usługi Microsoft Entra Połączenie Health. Jeśli zapory blokują łączność wychodzącą, upewnij się, że adresy URL w poniższej tabeli nie są domyślnie blokowane.

Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL. Zamiast tego zezwól na nie tak, jak zezwalasz na inny ruch internetowy.

Te adresy URL umożliwiają komunikację z punktami końcowymi usługi Microsoft Entra Połączenie Health. W dalszej części tego artykułu dowiesz się, jak sprawdzić łączność wychodzącą przy użyciu polecenia Test-MicrosoftEntraConnectHealthConnectivity.

Środowisko domeny Wymagane punkty końcowe usług platformy Azure
Ogólna opinia publiczna - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Port: 5671 (Jeśli 5671 jest zablokowany, agent wraca do 443, ale zalecamy użycie portu 5671. Ten punkt końcowy nie jest wymagany w najnowszej wersji agenta).
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Pobieranie agentów

Aby pobrać i zainstalować agenta microsoft Entra Połączenie Health:

Instalowanie agenta dla usług AD FS

Aby uzyskać informacje na temat instalowania i monitorowania usług AD FS za pomocą agenta microsoft Entra Połączenie Health, zobacz Microsoft Entra Połączenie Health agentów usług AD FS.

Instalowanie agenta na potrzeby synchronizacji

Agent microsoft Entra Połączenie Health do celów synchronizacji jest instalowany automatycznie w najnowszej wersji programu Microsoft Entra Połączenie. Aby użyć programu Microsoft Entra Połączenie do celów synchronizacji, pobierz najnowszą wersję Połączenie firmy Microsoft i zainstaluj ją.

Aby sprawdzić, czy agent został zainstalowany, poszukaj następujących usług na serwerze. Jeśli konfiguracja została ukończona, usługi powinny już działać. W przeciwnym razie usługi zostaną zatrzymane do momentu ukończenia konfiguracji.

  • Microsoft Entra Połączenie Agent Updater
  • Microsoft Entra Połączenie Health Agent

Zrzut ekranu przedstawiający uruchomioną aplikację Microsoft Entra Połączenie Health dla usług synchronizacji na serwerze.

Uwaga

Pamiętaj, że do korzystania z usługi Microsoft Entra Połączenie Health musisz mieć identyfikator Microsoft Entra ID P1 lub P2. Jeśli nie masz identyfikatora Microsoft Entra ID P1 lub P2, nie możesz ukończyć konfiguracji w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz wymagania.

Ręczne rejestrowanie usługi Microsoft Entra Połączenie Health na potrzeby synchronizacji

Jeśli usługa Microsoft Entra Połączenie Health na potrzeby rejestracji agenta synchronizacji zakończy się niepowodzeniem po pomyślnym zainstalowaniu programu Microsoft Entra Połączenie, możesz użyć polecenia programu PowerShell, aby ręcznie zarejestrować agenta.

Ważne

Użyj tego polecenia programu PowerShell tylko wtedy, gdy rejestracja agenta zakończy się niepowodzeniem po zainstalowaniu usługi Microsoft Entra Połączenie.

Ręcznie zarejestruj agenta microsoft Entra Połączenie Health na potrzeby synchronizacji przy użyciu następującego polecenia programu PowerShell. Usługi Microsoft Entra Połączenie Health zostaną uruchomione po pomyślnym zarejestrowaniu agenta.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Polecenie przyjmuje następujące parametry:

  • AttributeFiltering: $true (ustawienie domyślne) jeśli Połączenie firmy Microsoft nie synchronizuje domyślnego zestawu atrybutów i został dostosowany do używania filtrowanego zestawu atrybutów. W przeciwnym razie użyj polecenia $false.
  • StagingMode: $false (ustawienie domyślne), jeśli serwer Microsoft Entra Połączenie nie jest w trybie przejściowym. Jeśli serwer jest skonfigurowany do pracy w trybie przejściowym, użyj polecenia $true.

Po wyświetleniu monitu o uwierzytelnienie użyj tego samego konta globalnego Administracja istratora (na przykład admin@domain.onmicrosoft.com), które zostało użyte do skonfigurowania Połączenie firmy Microsoft.

Instalowanie agenta dla usług AD Domain Services

Aby rozpocząć instalację agenta, kliknij dwukrotnie pobrany plik .exe . W pierwszym oknie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający okno instalacji programu Microsoft Entra Połączenie Health dla usług AD DS.

Po wyświetleniu monitu zaloguj się przy użyciu konta Microsoft Entra z uprawnieniami do rejestrowania agenta. Domyślnie konto Administracja istrator tożsamości hybrydowej ma uprawnienia.

Zrzut ekranu przedstawiający okno logowania dla usługi Microsoft Entra Połączenie Health AD DS.

Po zalogowaniu proces instalacji zostanie zakończony i można zamknąć okno.

Zrzut ekranu przedstawiający komunikat z potwierdzeniem instalacji agenta usług AD DS firmy Microsoft Połączenie Health.

W tym momencie usługi agentów powinny zacząć automatycznie zezwalać agentowi na bezpieczne przekazywanie wymaganych danych do usługi w chmurze.

Aby sprawdzić, czy agent został zainstalowany, poszukaj następujących usług na serwerze. Jeśli konfiguracja została zakończona, te usługi powinny być uruchomione. W przeciwnym razie są one zatrzymywane do momentu ukończenia konfiguracji.

  • Microsoft Entra Połączenie Agent Updater
  • Microsoft Entra Połączenie Health Agent

Zrzut ekranu przedstawiający usługi Microsoft Entra Połączenie Health USŁUG AD DS.

Szybkie instalowanie agenta na wielu serwerach

  1. Utwórz konto użytkownika w usłudze Microsoft Entra ID. Zabezpiecz konto przy użyciu hasła.

  2. Przypisz rolę Właściciela dla tego lokalnego konta Microsoft Entra w usłudze Microsoft Entra Połączenie Health przy użyciu portalu. Przypisz rolę do wszystkich wystąpień usługi.

  3. Pobierz plik MSI .exe na lokalnym kontrolerze domeny na potrzeby instalacji.

  4. Uruchom poniższy skrypt. Zastąp parametry nowym kontem użytkownika i jego hasłem.

    AdHealthAddsAgentSetup.exe /quiet
Start-Sleep 30
$userName = "NEWUSER@DOMAIN"
$secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
$myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"

Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds

Po zakończeniu możesz usunąć dostęp dla konta lokalnego, wykonując co najmniej jedno z następujących zadań:

  • Usuń przypisanie roli dla konta lokalnego dla usługi Microsoft Entra Połączenie Health.
  • Obróć hasło dla konta lokalnego.
  • Wyłącz konto lokalne Microsoft Entra.
  • Usuń konto lokalne Microsoft Entra.

Rejestrowanie agenta przy użyciu programu PowerShell

Po zainstalowaniu odpowiedniego pliku setup.exe agenta można zarejestrować agenta przy użyciu następujących poleceń programu PowerShell, w zależności od roli. Otwórz program PowerShell jako administrator i uruchom odpowiednie polecenie:

Register-MicrosoftEntraConnectHealthAgent

Uwaga

Aby zarejestrować się w suwerennych chmurach, użyj następujących wierszy polecenia:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Te polecenia akceptują Credential jako parametr umożliwiający ukończenie rejestracji nieinterakcyjnej lub ukończenie rejestracji na komputerze z systemem Server Core. Należy pamiętać o następujących czynnikach:

  • Możesz przechwycić Credential w zmiennej programu PowerShell, która jest przekazywana jako parametr.
  • Możesz podać dowolną tożsamość firmy Microsoft Entra, która ma uprawnienia do rejestrowania agentów i która nie ma włączonego uwierzytelniania wieloskładnikowego.
  • Domyślnie administratorzy globalni mają uprawnienia do rejestrowania agentów. W tym kroku można również zezwolić na mniej uprzywilejowane tożsamości. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach platformy Azure.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Konfigurowanie agentów usługi Microsoft Entra Połączenie Health do korzystania z serwera proxy HTTP

Możesz skonfigurować agentów usługi Microsoft Entra Połączenie Health do pracy z serwerem proxy HTTP.

Uwaga

  • Netsh WinHttp set ProxyServerAddress nie jest obsługiwany. Agent używa System.Net zamiast usług HTTP systemu Windows do tworzenia żądań internetowych.
  • Skonfigurowany adres serwera proxy HTTP jest używany do przekazywania zaszyfrowanych komunikatów HTTPS.
  • Uwierzytelnione serwery proxy (przy użyciu protokołu HTTPBasic) nie są obsługiwane.

Zmienianie konfiguracji serwera proxy agenta

Aby skonfigurować agenta microsoft Entra Połączenie Health do korzystania z serwera proxy HTTP, możesz:

  • Zaimportuj istniejące ustawienia serwera proxy.
  • Ręczne określanie adresów serwera proxy.
  • Wyczyść istniejącą konfigurację serwera proxy.

Uwaga

Aby zaktualizować ustawienia serwera proxy, należy ponownie uruchomić wszystkie usługi agenta Microsoft Entra Połączenie Health. Aby ponownie uruchomić wszystkich agentów, uruchom następujące polecenie:

Restart-Service AzureADConnectHealthAgent*

Importowanie istniejących ustawień serwera proxy

Ustawienia serwera proxy HTTP programu Internet Explorer można zaimportować, aby agenci microsoft Entra Połączenie Health mogli używać tych ustawień. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Możesz zaimportować ustawienia serwera proxy WinHTTP, aby agenci microsoft Entra Połączenie Health mogli z nich korzystać. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ręczne określanie adresów proxy

Możesz ręcznie określić serwer proxy. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Oto przykład:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

W tym przykładzie:

  • Ustawienie address może być nazwą serwera rozpoznawania DNS lub adresem IPv4.
  • Można pominąć port. Jeśli tak, 443 jest portem domyślnym.

Wyczyść istniejącą konfigurację serwera proxy

Istniejącą konfigurację serwera proxy możesz wyczyścić, uruchamiając następujące polecenie:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Odczytywanie bieżących ustawień serwera proxy

Bieżące ustawienia serwera proxy można odczytać, uruchamiając następujące polecenie:

Get-MicrosoftEntraConnectHealthProxySettings

Testowanie łączności z usługą Microsoft Entra Połączenie Health

Czasami agent Microsoft Entra Połączenie Health traci łączność z usługą Microsoft Entra Połączenie Health. Przyczyny tej utraty łączności mogą obejmować problemy z siecią, problemy z uprawnieniami i różne inne problemy.

Jeśli agent nie może wysłać danych do usługi Microsoft Entra Połączenie Health przez dłużej niż dwie godziny, w portalu zostanie wyświetlony następujący alert: Usługa kondycji dane nie są aktualne.

Możesz dowiedzieć się, czy agent microsoft Entra Połączenie Health może przekazać dane do usługi Microsoft Entra Połączenie Health, uruchamiając następujące polecenie programu PowerShell:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parametr Role przyjmuje obecnie następujące wartości:

  • ADFS
  • Sync
  • ADDS

Uwaga

Aby użyć narzędzia łączności, należy najpierw zarejestrować agenta. Jeśli nie możesz ukończyć rejestracji agenta, upewnij się, że spełniasz wszystkie wymagania dotyczące usługi Microsoft Entra Połączenie Health. Połączenie ivity jest domyślnie testowany podczas rejestracji agenta.

Następne kroki

Zapoznaj się z następującymi powiązanymi artykułami: