Instalar os agentes do Microsoft Entra Connect Health

Neste artigo, você aprende a instalar e configurar os agentes do Microsoft Entra Connect Health.

Saiba como baixar os agentes.

Observação

O Microsoft Entra Connect Health não está disponível na nuvem soberana da China.

Requisitos

A tabela a seguir lista os requisitos para uso do Microsoft Entra Connect Health:

Requisito Descrição
Você tem uma assinatura do Microsoft Entra ID P1 ou P2. O Microsoft Entra Connect Health é um recurso do Microsoft Entra ID P1 ou P2. Para obter mais informações, consulte Inscrever-se para Microsoft Entra ID P1 ou P2.

Para iniciar uma avaliação gratuita de 30 dias, confira Iniciar uma avaliação.
Você é um administrador global no Microsoft Entra ID. Atualmente, somente contas de Administrador Global podem instalar e configurar agentes de integridade. Para obter mais informações, confira Gerenciar seu diretório do Microsoft Entra.

Usando o RBAC do Azure (controle de acesso baseado em função do Azure), você pode permitir que outros usuários da sua organização acessem o Microsoft Entra Connect Health. Para obter mais informações, confira RBAC do Azure para Microsoft Entra Connect Health.

Importante: use uma conta corporativa ou de estudante para instalar os agentes. Você não pode usar uma conta Microsoft para instalar os agentes. Para obter mais informações, confira Inscrever-se no Azure como uma organização.
O agente do Microsoft Entra Connect Health é instalado em cada servidor de destino. Os agentes de integridade devem ser instalados e configurados nos servidores de destino para que possam receber dados e fornecer recursos de monitoramento e análise.

Por exemplo, para obter dados da sua infraestrutura de Serviços de Federação do Active Directory (AD FS), você deve instalar o agente no servidor de AD FS e no servidor Proxy de Aplicativo Web. Da mesma forma, para obter dados da sua infraestrutura local dos Serviços de Domínio para AD, você deve instalar o agente nos controladores de domínio.
Os pontos de extremidade de serviço do Azure têm conectividade de saída. Durante a instalação e o runtime, o agente requer conectividade com os pontos de extremidade de serviço do Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, adicione os pontos de extremidade de conectividade de saída à uma lista de permitidos.
A conectividade de saída é baseada em endereços IP. Para obter informações sobre filtragem de firewall com base em endereços IP, confira intervalos de IP do Azure.
A inspeção de TLS para tráfego de saída foi filtrada ou desabilitada. A etapa de registro do agente ou as operações de carregamento de dados podem falhar se houver inspeção de TLS ou encerramento do tráfego de saída na camada de rede. Para obter mais informações, confira Configurar inspeção do TLS.
As portas de firewall no servidor estão executando o agente. O agente requer que as seguintes portas de firewall sejam abertas para que ele possa se comunicar com os pontos de extremidade de serviço do Microsoft Entra Connect Health:
- Porta TCP 443
- Porta TCP 5671

A versão mais recente do agente não requer a porta 5671. Atualize para a versão mais recente para que apenas a porta 443 seja necessária. Para obter mais informações, confira Portas e protocolos necessários à identidade híbrida.
Se a segurança aprimorada do Internet Explorer estiver habilitada, permita sites especificados. Se a segurança aprimorada do Internet Explorer estiver habilitada, permita os seguintes sites no servidor em que o agente está instalado:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
- O servidor de federação da sua organização que é de confiança para o Microsoft Entra ID (por exemplo, https://sts.contoso.com).

Para obter mais informações, confira Como configurar o Internet Explorer. Se você tiver um proxy na sua rede, confira a nota que aparece ao final desta tabela.
O PowerShell versão 5.0 ou posterior está instalado. O Windows Server 2016 inclui o PowerShell versão 5.0.

Importante

O Windows Server Core não dá suporte à instalação do agente do Microsoft Entra Connect Health.

Observação

Se você tiver um ambiente altamente bloqueado e restrito, será necessário adicionar mais URLs do que as URLs que a tabela lista para a segurança aprimorada do Internet Explorer. Além disso, adicione as URLs listadas na tabela da próxima seção.

Novas versões do agente e da atualização automática

Se uma nova versão do agente de integridade for lançada, todos os agentes instalados existentes serão atualizados automaticamente.

Conectividade de saída para pontos de extremidade de serviço do Azure

Durante a instalação e o runtime, o agente precisa de conectividade com os pontos de extremidade de serviço do Microsoft Entra ID Connect Health. Se os firewalls bloquearem a conectividade de saída, verifique se as URLs da tabela a seguir não estão bloqueadas por padrão.

Não desabilite o monitoramento de segurança ou a inspeção dessas URLs. Em vez disso, permita essas ações assim como faria com outros tráfegos da Internet.

Essas URLs permitem a comunicação com os pontos de extremidade de serviço do Microsoft Entra Connect Health. Mais adiante neste artigo, você aprenderá a verificar a conectividade de saída usando Test-AzureADConnectHealthConnectivity.

Ambiente de domínio Pontos de extremidade de serviço do Azure exigidos
Público geral - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Porta 5671 (Se 5671 estiver bloqueada, o agente voltará para 443, mas recomendamos que você use a porta 5671. Esse ponto de extremidade não é necessário na versão mais recente do agente.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Este ponto de extremidade é utilizado apenas para fins de descoberta durante o registo.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Este ponto de extremidade é utilizado apenas para fins de descoberta durante o registo.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us

Baixar os agentes

Para baixar e instalar o agente do Microsoft Entra Connect Health:

Instalar o agente do AD FS

Para obter informações sobre como instalar e monitorar o AD FS com o agente do Microsoft Entra Connect Health, consulte Agentes do Microsoft Entra Connect Health para o AD FS.

Instalar o agente para sincronização

O agente do Microsoft Entra Connect Health para sincronização é instalado automaticamente na versão mais recente do Microsoft Entra Connect. Para usar o Microsoft Entra Connect para sincronização, baixe a versão mais recente do Microsoft Entra Connect e instale-a.

Para verificar se o agente foi instalado, procure os serviços a seguir no servidor. Se você tiver concluído a configuração, os serviços já deverão estar em execução. Caso contrário, os serviços ficarão parados até a conclusão da configuração.

  • Atualizador do Agente do Microsoft Entra Connect
  • Agente do Microsoft Entra Connect Health

Captura de tela que mostra os serviços do Microsoft Entra Connect Health para sincronização em execução no servidor.

Observação

Lembre-se de que você deve ter o Microsoft Entra ID P1 ou P2 para usar o Microsoft Entra Connect Health. Se você não tiver o Microsoft Entra P1 ou P2, não poderá concluir a configuração no Centro de Administração do Microsoft Entra. Para saber mais, confira os requisitos.

Registre manualmente o Microsoft Entra Connect Health para Sincronização

Se o registro do agente do Microsoft Entra Connect Health para sincronização falhar após a instalação bem-sucedida do Microsoft Entra ID Connect, você poderá usar o comando a seguir do PowerShell para registrar o agente manualmente.

Importante

Use esse comando do PowerShell somente se o registro do agente falhar após a instalação do Microsoft Entra Connect.

Registre manualmente o agente do Microsoft Entra Connect Health para Sincronização usando o comando do PowerShell a seguir. Os serviços do Microsoft Entra Connect Health não serão iniciados até que o agente seja registrado com êxito.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

O comando usa os seguintes parâmetros:

  • AttributeFiltering: $true (padrão) se o Microsoft Entra Connect não estiver sincronizando o conjunto de atributos padrão e tiver sido personalizado para usar um conjunto de atributos filtrados. Caso contrário, use $false.
  • StagingMode: $false (padrão) se o servidor do Microsoft Entra Connect não estiver em modo de preparo. Se o servidor estiver configurado para estar em modo de preparo, use $true.

Quando for solicitado que faça a autenticação, use a mesma conta do Administrador Global (como admin@domain.onmicrosoft.com) usada para configurar o Microsoft Entra Connect.

Instalar o agente dos Serviços do Domínio do AD

Para iniciar a instalação do agente, clique duas vezes no arquivo .exe que você baixou. Na primeira janela, selecione Instalar.

Captura de tela que mostra a janela de instalação do agente do Microsoft Entra Connect Health para AD DS.

Quando a instalação for concluída, selecione Configurar agora.

Captura de tela mostrando a janela que conclui a instalação do agente do Microsoft Entra Connect Health para AD Domain Services.

A janela do Prompt de Comando é aberta. O PowerShell executa Register-AzureADConnectHealthADDSAgent. Quando for solicitado, entre no Azure.

Captura de tela mostrando a janela de entrada para o agente do Microsoft Entra Connect Health para AD Domain Services.

Após você entrar, o PowerShell continua. Ao concluir, você pode fechar o PowerShell. A configuração foi concluída.

Neste ponto, os serviços devem ser iniciados automaticamente, permitindo que o agente monitore e colete dados. Se você não tiver atendido a todos os pré-requisitos descritos nas seções anteriores, serão exibidos avisos na janela do PowerShell. Não se esqueça de cumprir os requisitos antes de instalar o agente. A captura de tela a seguir mostra um exemplo desses avisos.

Captura de tela mostrando um aviso para o agente do Microsoft Entra Connect Health para a configuração do AD Domain Services.

Para verificar se o agente foi instalado, procure os seguintes serviços no controlador de domínio:

  • Serviço de Insights do Microsoft Entra Connect Health para AD DS
  • Serviço de Monitoramento do Microsoft Entra Connect Health para AD DS

Se você tiver concluído a configuração, esses serviços já deverão estar em execução. Caso contrário, eles serão parados até a conclusão da configuração.

Captura de tela mostrando os serviços em execução no controlador de domínio.

Instalar rapidamente o agente em vários servidores

  1. Crie a conta de usuário no Microsoft Entra ID. Proteja a conta usando uma senha.

  2. Atribua a função Proprietário para essa conta do Microsoft Entra no Microsoft Entra Connect Health usando o portal. Atribua a função a todas as instâncias de serviço.

  3. Baixe o arquivo MSI .exe no controlador de domínio local para a instalação.

  4. Execute o seguinte script. Substitua os parâmetros por sua nova conta de usuário e a senha correspondente.

    AdHealthAddsAgentSetup.exe /quiet
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
    
    Register-AzureADConnectHealthADDSAgent -Credential $myCreds
    

Ao concluir, você poderá remover o acesso à conta local executando uma ou mais das seguintes tarefas:

  • Remova a atribuição de função da conta local para o Microsoft Entra Connect Health.
  • Gire a senha da conta local.
  • Desabilite a conta local do Microsoft Entra.
  • Exclua a conta local do Microsoft Entra.

Registrar o agente usando o PowerShell

Depois de instalar o arquivo setup.exe do agente relevante, você pode registrar o agente usando os comandos do PowerShell a seguir, dependendo da função. Abra o PowerShell como administrador e execute o comando relevante:

Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

Observação

Para se registrar em nuvens soberanas, use as seguintes linhas de comando:

Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

Esses comandos aceitam Credential como parâmetro para concluir o registro de maneira não interativa ou para concluir o registro em um computador que executa o Server Core. Tenha esses fatores em mente:

  • Você pode capturar Credential em uma variável do PowerShell que é passada como parâmetro.
  • Você pode fornecer qualquer identidade do Microsoft Entra que tenha permissão para registrar os agentes e que não tenha a autenticação multifator habilitada.
  • Por padrão, os administradores globais têm permissões para registrar os agentes. Você também pode permitir que outras identidades menos privilegiadas executem essa etapa. Para obter mais informações, confira RBAC do Azure.
    $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

Configurar agentes do Microsoft Entra Connect Health para usar proxy HTTP

Você pode configurar agentes do Microsoft Entra Connect Health para trabalhar com um proxy HTTP.

Observação

  • Não há suporte para Netsh WinHttp set ProxyServerAddress. O agente usa System.Net em vez de serviços HTTP do Windows para fazer solicitações da Web.
  • O endereço do proxy HTTP configurado é usado para a passagem de mensagens HTTPS criptografadas.
  • Não há suporte para proxies autenticados (usando HTTPBasic).

Alterar a configuração do proxy do agente

Para configurar o agente do Microsoft Entra Connect Health para usar um proxy HTTP, você pode:

  • Importar as configurações de proxy existentes.
  • Especificar endereços de proxy manualmente.
  • Limpar a configuração de proxy existente.

Observação

Para atualizar as configurações de proxy você deve reiniciar todos os serviços do agente do Microsoft Entra Connect Health. Para reiniciar todos os agentes, execute o seguinte comando:

Restart-Service AdHealthAdfs*

Importar configurações de proxy existentes

Você pode importar as configurações de proxy HTTP do Internet Explorer para que os agentes do Microsoft Entra Connect Health possam usar as configurações. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

Você pode importar as configurações de proxy do WinHTTP para que os agentes do Microsoft Entra Connect Health possam usá-las. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

Especificar endereços de proxy manualmente

Você pode especificar manualmente um servidor proxy. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

Veja um exemplo:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Neste exemplo:

  • A configuração address pode ser um nome do servidor DNS que pode ser resolvido ou um endereço IPv4.
  • Você pode omitir port. Se você fizer isso, 443 será a porta padrão.

Limpar a configuração de proxy existente

Você pode limpar a configuração de proxy existente executando o comando a seguir:

Set-AzureAdConnectHealthProxySettings -NoProxy

Ler configurações de proxy atuais

Você pode ler as configurações de proxy atuais executando o seguinte comando:

Get-AzureAdConnectHealthProxySettings

Testar a conectividade com o serviço Microsoft Entra Connect Health

Ocasionalmente, o agente do Microsoft Entra Connect Health perde a conectividade com o serviço Microsoft Entra Connect Health. As causas dessa perda de conectividade podem incluir problemas de rede, problemas de permissão e vários outros problemas.

Se o agente não puder enviar dados para o serviço Microsoft Entra Connect Health por mais de duas horas, o seguinte alerta será exibido no portal: Os dados do Serviço de Integridade não estão atualizados.

Você pode descobrir se o agente do Microsoft Entra Connect Health afetado consegue carregar dados no serviço Microsoft Entra Connect Health executando o seguinte comando do PowerShell:

Test-AzureADConnectHealthConnectivity -Role ADFS

O parâmetro Role usa os seguintes valores:

  • ADFS
  • Sync
  • ADDS

Observação

Para usar a ferramenta de conectividade, primeiro você deve registrar o agente. Se não for possível concluir o registro do agente, verifique se você atende a todos os requisitos do Microsoft Entra Connect Health. A conectividade é testada por padrão durante o registro do agente.

Próximas etapas

Confira os seguintes artigos relacionados: