Instalar os agentes do Azure AD Connect Health

Neste artigo, irá aprender a instalar e configurar os agentes do Azure AD Connect Health.

Saiba como transferir os agentes.

Nota

Azure AD Connect Health não está disponível na cloud soberana da China.

Requisitos

A tabela seguinte lista os requisitos para utilizar o Azure AD Connect Health:

Requisito	Description
Tem uma Subscrição do Azure Active Directory (Azure AD) Premium (P1 ou P2).	Azure AD Connect Health é uma funcionalidade do Azure AD Premium (P1 ou P2). Para obter mais informações, consulte Inscrever-se no Azure AD Premium. Para iniciar uma avaliação gratuita de 30 dias, consulte Iniciar uma avaliação.
É um administrador de identidade híbrida no Azure AD.	Por predefinição, apenas o Administrador de Identidade Híbrida e as contas de Administrador Global podem instalar e configurar agentes de estado de funcionamento, aceder ao portal e realizar quaisquer operações no Azure AD Connect Health. Para obter mais informações, veja Administrar o diretório do Azure AD. Ao utilizar o controlo de acesso baseado em funções do Azure (RBAC do Azure), pode permitir que outros utilizadores na sua organização acedam ao Azure AD Connect Health. Para obter mais informações, veja RBAC do Azure para Azure AD Connect Health. Importante: utilize uma conta escolar ou profissional para instalar os agentes. Não pode utilizar uma conta Microsoft para instalar os agentes. Para obter mais informações, veja Inscrever-se no Azure como uma organização.
O agente do Azure AD Connect Health está instalado em cada servidor de destino.	Os agentes de estado de funcionamento têm de ser instalados e configurados em servidores direcionados para que possam receber dados e fornecer capacidades de monitorização e análise. Por exemplo, para obter dados da sua infraestrutura de Serviços de Federação do Active Directory (AD FS) (AD FS), tem de instalar o agente no servidor do AD FS e no servidor de Proxy de Aplicações Web. Da mesma forma, para obter dados da sua infraestrutura do Azure Active Directory Domain Services (Azure AD DS), tem de instalar o agente nos controladores de domínio.
Os pontos finais de serviço do Azure têm conectividade de saída.	Durante a instalação e o tempo de execução, o agente requer conectividade aos pontos finais do serviço do Azure AD Connect Health. Se as firewalls bloquearem a conectividade de saída, adicione os pontos finais de conectividade de saída a uma lista de permissões.
A conectividade de saída baseia-se em endereços IP.	Para obter informações sobre a filtragem da firewall com base em endereços IP, veja Intervalos de IP do Azure.
A inspeção TLS para tráfego de saída está filtrada ou desativada.	O passo de registo do agente ou as operações de carregamento de dados poderão falhar se existir inspeção ou terminação do TLS para tráfego de saída na camada de rede. Para obter mais informações, veja Configurar a inspeção TLS.
As portas de firewall no servidor estão a executar o agente.	O agente requer que as seguintes portas de firewall estejam abertas para que possa comunicar com os pontos finais do serviço Azure AD Connect Health: - Porta TCP 443 - Porta TCP 5671 A versão mais recente do agente não requer a porta 5671. Atualize para a versão mais recente para que seja necessária apenas a porta 443. Para obter mais informações, veja Portas e protocolos necessários para a identidade híbrida.
Se a segurança avançada do Internet Explorer estiver ativada, permita sites especificados.	Se a segurança avançada do Internet Explorer estiver ativada, permita os seguintes sites no servidor onde instala o agente: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - O servidor de federação da sua organização fidedigno por Azure AD (por exemplo, https://sts.contoso.com). Para obter mais informações, veja Como configurar o Internet Explorer. Se tiver um proxy na sua rede, consulte a nota apresentada no final desta tabela.
A versão 5.0 ou posterior do PowerShell está instalada.	Windows Server 2016 inclui a versão 5.0 do PowerShell.

Importante

O Windows Server Core não suporta a instalação do agente do Azure AD Connect Health.

Nota

Se tiver um ambiente altamente bloqueado e restrito, terá de adicionar mais URLs do que os URLs que as listas de tabelas para segurança melhorada do Internet Explorer. Adicione também URLs listados na tabela na secção seguinte.

Novas versões do agente e atualização automática

Se for lançada uma nova versão do agente de estado de funcionamento, todos os agentes instalados existentes serão atualizados automaticamente.

Conectividade de saída para pontos finais de serviço do Azure

Durante a instalação e o runtime, o agente precisa de conectividade para Azure AD pontos finais do serviço Connect Health. Se as firewalls bloquearem a conectividade de saída, certifique-se de que os URLs na tabela seguinte não estão bloqueados por predefinição.

Não desative a monitorização ou inspeção de segurança destes URLs. Em vez disso, permita-os tal como permitiria outro tráfego de Internet.

Estes URLs permitem a comunicação com Azure AD pontos finais do serviço Connect Health. Mais adiante neste artigo, irá aprender a verificar a conectividade de saída com Test-AzureADConnectHealthConnectivity.

Ambiente de domínio	Pontos finais do serviço do Azure necessários
Público geral	- *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Porta: 5671 (se 5671 estiver bloqueado, o agente volta a ser 443, mas recomendamos que utilize a porta 5671. Este ponto final não é necessário na versão mais recente do agente.) - *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto final é utilizado apenas para fins de deteção durante o registo.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Alemanha	- *.blob.core.cloudapi.de - *.servicebus.cloudapi.de - *.aadconnecthealth.microsoftazure.de - https://management.microsoftazure.de - https://policykeyservice.aadcdi.microsoftazure.de - https://login.microsoftonline.de - https://secure.aadcdn.microsoftonline-p.de - https://www.office.de (Este ponto final é utilizado apenas para fins de deteção durante o registo.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure Government	- *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto final é utilizado apenas para fins de deteção durante o registo.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net

Transferir os agentes

Para transferir e instalar o agente do Azure AD Connect Health:

• Certifique-se de que cumpre os requisitos para instalar o Azure AD Connect Health.
• Comece a utilizar o Azure AD Connect Health para o AD FS:
  • Transfira o agente do Azure AD Connect Health para o AD FS.
  • Veja as instruções de instalação.
• Comece a utilizar o Azure AD Connect Health para sincronização:
  • Transferir e instalar a versão mais recente do Azure AD Connect. O agente de estado de funcionamento para sincronização é instalado como parte da instalação do Azure AD Connect (versão 1.0.9125.0 ou posterior).
• Comece a utilizar o Azure AD Connect Health para Azure AD DS:
  • Transfira o agente do Azure AD Connect Health para Azure AD DS.
  • Veja as instruções de instalação.

Instalar o agente do AD FS

Nota

O servidor do AD FS deve estar separado do servidor de sincronização. Não instale o agente do AD FS no servidor de sincronização.

Antes de instalar o agente, certifique-se de que o nome do anfitrião do servidor do AD FS é exclusivo e não está presente no serviço AD FS.

Para iniciar a instalação do agente, faça duplo clique no ficheiro de.exe que transferiu. Na primeira caixa de diálogo, selecione Instalar.

Após a conclusão da instalação, selecione Configurar Agora.

É aberta uma janela do PowerShell para iniciar o processo de registo do agente. Quando lhe for pedido, inicie sessão com uma conta Azure AD que tenha permissões para registar o agente. Por predefinição, a conta de Administrador de Identidade Híbrida tem permissões.

Depois de iniciar sessão, o PowerShell continua a instalação. Quando terminar, pode fechar o PowerShell. A configuração está concluída.

Neste momento, os serviços do agente devem começar a permitir automaticamente que o agente carregue os dados necessários de forma segura para o serviço cloud.

Se ainda não cumpriu todos os pré-requisitos, são apresentados avisos na janela do PowerShell. Certifique-se de que conclui os requisitos antes de instalar o agente. A seguinte captura de ecrã mostra um exemplo destes avisos.

Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se concluiu a configuração, já devem estar a ser executados. Caso contrário, serão paradas até que a configuração esteja concluída.

• Serviço de Diagnóstico do Azure AD Connect Health AD FS
• Serviço de Informações do Azure AD Connect Health AD FS
• Serviço de Monitorização do Azure AD Connect Health AD FS

Ativar a auditoria para o AD FS

Nota

Esta secção aplica-se apenas aos servidores do AD FS. Não tem de concluir estes passos em servidores de Proxy de Aplicações Web.

A funcionalidade Análise de Utilização precisa de recolher e analisar dados, pelo que o agente do Azure AD Connect Health precisa das informações nos registos de auditoria do AD FS. Estes registos não estão ativados por predefinição. Utilize os seguintes procedimentos para ativar a auditoria do AD FS e para localizar os registos de auditoria do AD FS nos servidores do AD FS.

Para ativar a auditoria para o AD FS no Windows Server 2012 R2

1. No ecrã Início, abra Gestor de Servidor e, em seguida, abra a Política de Segurança Local. Em alternativa, na barra de tarefas, abra Gestor de Servidor e, em seguida, selecione Ferramentas/Política de Segurança Local.

2. Aceda à pasta Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador . Faça duplo clique em Gerar auditorias de segurança.

3. No separador Definição de Segurança Local, certifique-se de que a conta de serviço do AD FS está listada. Se não estiver listado, selecione Adicionar Utilizador ou Grupo e adicione a conta de serviço do AD FS à lista. Em seguida, selecione OK.

4. Para ativar a auditoria, abra uma janela da Linha de Comandos como administrador e, em seguida, execute o seguinte comando:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Feche a Política de Segurança Local.

   Importante

   Os restantes passos são necessários apenas para os servidores primários do AD FS.

6. Abra a snap-in da Gestão do AD FS. (No Gestor de Servidor, selecione Ferramentas>Gestão do AD FS.)

7. No painel Ações , selecione Editar Propriedades do Serviço de Federação.

8. Na caixa de diálogo Propriedades do Serviço de Federação , selecione o separador Eventos .

9. Selecione as caixas de verificação Auditorias de êxito e Auditorias de falhas e, em seguida, selecione OK.

10. Para ativar o registo verboso através do PowerShell, utilize o seguinte comando:

    Set-AdfsProperties -LOGLevel Verbose

Para ativar a auditoria para o AD FS no Windows Server 2016

1. No ecrã Início, abra Gestor de Servidor e, em seguida, abra a Política de Segurança Local. Em alternativa, na barra de tarefas, abra Gestor de Servidor e, em seguida, selecione Ferramentas/Política de Segurança Local.

2. Aceda à pasta Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador . Faça duplo clique em Gerar auditorias de segurança.

3. No separador Definição de Segurança Local, certifique-se de que a conta de serviço do AD FS está listada. Se não estiver listado, selecione Adicionar Utilizador ou Grupo e adicione a conta de serviço do AD FS à lista. Em seguida, selecione OK.

4. Para ativar a auditoria, abra uma janela da Linha de Comandos como administrador e, em seguida, execute o seguinte comando:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Feche a Política de Segurança Local.

   Importante

   Os restantes passos são necessários apenas para os servidores primários do AD FS.

6. Abra a snap-in da Gestão do AD FS. (No Gestor de Servidor, selecione Ferramentas>Gestão do AD FS.)

7. No painel Ações , selecione Editar Propriedades do Serviço de Federação.

8. Na caixa de diálogo Propriedades do Serviço de Federação , selecione o separador Eventos .

9. Selecione as caixas de verificação Auditorias de êxito e Auditorias de falhas e, em seguida, selecione OK. As auditorias de êxito e as auditorias de falhas devem estar ativadas por predefinição.

10. Abra uma janela do PowerShell e execute o seguinte comando:

    Set-AdfsProperties -AuditLevel Verbose

O nível de auditoria "básico" está ativado por predefinição. Para obter mais informações, veja Melhoria da auditoria do AD FS no Windows Server 2016.

Para localizar os registos de auditoria do AD FS

1. Abra o Visualizador de Eventos.

2. Aceda a Registos do Windows e, em seguida, selecione Segurança.

3. No painel direito, selecione Filtrar Registos Atuais.

4. Para Origens de eventos, selecione Auditoria do AD FS.

   Para obter mais informações sobre os registos de auditoria, veja Perguntas sobre operações.

   

Aviso

Uma política de grupo pode desativar a auditoria do AD FS. Se a auditoria do AD FS estiver desativada, a análise de utilização sobre as atividades de início de sessão não estará disponível. Certifique-se de que não tem nenhuma política de grupo que desative a auditoria do AD FS.

Instalar o agente para sincronização

O agente do Azure AD Connect Health para sincronização é instalado automaticamente na versão mais recente do Azure AD Connect. Para utilizar o Azure AD Connect para sincronização, transfira a versão mais recente do Azure AD Connect e instale-a.

Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se tiver concluído a configuração, os serviços já deverão estar em execução. Caso contrário, os serviços são parados até a configuração estar concluída.

• Serviço de Informações do Azure AD Connect Health Sincronização
• Serviço de Monitorização do Azure AD Connect Health Sincronização

Nota

Lembre-se de que tem de ter Azure AD Premium (P1 ou P2) para utilizar o Azure AD Connect Health. Se não tiver Azure AD Premium, não poderá concluir a configuração no portal do Azure. Para obter mais informações, veja os requisitos.

Registar manualmente o Azure AD Connect Health para sincronização

Se o Azure AD Connect Health para o registo do agente de sincronização falhar após instalar o Azure AD Connect com êxito, pode utilizar um comando do PowerShell para registar manualmente o agente.

Importante

Utilize este comando do PowerShell apenas se o registo do agente falhar após instalar o Azure AD Connect.

Registe manualmente o agente do Azure AD Connect Health para sincronização com o seguinte comando do PowerShell. Quando o agente for registado com êxito, os serviços do Azure AD Connect Health são iniciados.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

O comando recebe os seguintes parâmetros:

• AttributeFiltering: $true (predefinição) se o Azure AD Connect não estiver a sincronizar o conjunto de atributos predefinido e tiver sido personalizado para utilizar um conjunto de atributos filtrado. Caso contrário, utilize $false.
• StagingMode: $false (predefinição) se o servidor Azure AD Connect não estiver no modo de teste. Se o servidor estiver configurado para estar no modo de teste, utilize $true.

Quando lhe for pedida a autenticação, utilize a mesma conta de Administrador Global (como admin@domain.onmicrosoft.com) que utilizou para configurar o Azure AD Ligar.

Instalar o agente para Azure AD DS

Para iniciar a instalação do agente, faça duplo clique no ficheiro .exe que transferiu. Na primeira janela, selecione Instalar.

Quando a instalação estiver concluída, selecione Configurar Agora.

É aberta uma janela da Linha de Comandos. O PowerShell executa Register-AzureADConnectHealthADDSAgent. Quando lhe for pedido, inicie sessão no Azure.

Depois de iniciar sessão, o PowerShell continua. Quando terminar, pode fechar o PowerShell. A configuração está concluída.

Neste momento, os serviços devem ser iniciados automaticamente, permitindo que o agente monitorize e recolha dados. Se ainda não cumpriu todos os pré-requisitos descritos nas secções anteriores, os avisos são apresentados na janela do PowerShell. Certifique-se de que conclui os requisitos antes de instalar o agente. A seguinte captura de ecrã mostra um exemplo destes avisos.

Para verificar se o agente está instalado, procure os seguintes serviços no controlador de domínio:

• Serviço de Informações do Azure AD Connect Health AD DS
• Serviço de Monitorização do Azure AD Connect Health AD DS

Se concluiu a configuração, estes serviços já devem estar a ser executados. Caso contrário, serão parados até que a configuração seja concluída.

Instalar rapidamente o agente em vários servidores

1. Crie uma conta de utilizador no Azure AD. Proteja a conta com uma palavra-passe.

2. Atribua a função de Proprietário a esta conta de Azure AD local no Azure AD Connect Health através do portal. Atribua a função a todas as instâncias de serviço.

3. Transfira o ficheiro MSI .exe no controlador de domínio local para a instalação.

4. Execute o seguinte script. Substitua os parâmetros pela sua nova conta de utilizador e respetiva palavra-passe.

   AdHealthAddsAgentSetup.exe /quiet
   Start-Sleep 30
   $userName = "NEWUSER@DOMAIN"
   $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
   $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
   import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
   
   Register-AzureADConnectHealthADDSAgent -Credential $myCreds
   

Quando terminar, pode remover o acesso à conta local ao concluir uma ou mais das seguintes tarefas:

• Remova a atribuição de função da conta local do Azure AD Connect Health.
• Rode a palavra-passe da conta local.
• Desative o Azure AD conta local.
• Elimine o Azure AD conta local.

Registar o agente com o PowerShell

Depois de instalar o agente relevante setup.exe ficheiro, pode registar o agente com os seguintes comandos do PowerShell, consoante a função. Abra o PowerShell como administrador e execute o comando relevante:

Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

Nota

Para se registar em clouds soberanas, utilize as seguintes linhas de comandos:

Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

Estes comandos aceitam Credential como um parâmetro para concluir o registo de forma não interativa ou para concluir o registo num computador que executa o Server Core. Tenha estes fatores em mente:

• Pode capturar Credential numa variável do PowerShell que é transmitida como um parâmetro.
• Pode fornecer qualquer identidade Azure AD que tenha permissões para registar os agentes e que não tenha a autenticação multifator ativada.
• Por predefinição, os administradores globais têm permissões para registar os agentes. Também pode permitir que identidades com menos privilégios realizem este passo. Para obter mais informações, veja RBAC do Azure.

    $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

Configurar agentes do Azure AD Connect Health para utilizar o proxy HTTP

Pode configurar Azure AD agentes do Connect Health para trabalhar com um proxy HTTP.

Nota

• Netsh WinHttp set ProxyServerAddress não é suportado. O agente utiliza System.Net em vez dos Serviços HTTP do Windows para fazer pedidos Web.
• O endereço proxy HTTP configurado é utilizado para transmitir mensagens HTTPS encriptadas.
• Os proxies autenticados (com HTTPBasic) não são suportados.

Alterar a configuração do proxy do agente

Para configurar o agente do Azure AD Connect Health para utilizar um proxy HTTP, pode:

• Importar definições de proxy existentes.
• Especifique os endereços proxy manualmente.
• Limpe a configuração de proxy existente.

Nota

Para atualizar as definições de proxy, tem de reiniciar todos os serviços do agente do Azure AD Connect Health. Para reiniciar todos os agentes, execute o seguinte comando:

Restart-Service AdHealthAdfs*

Importar definições de proxy existentes

Pode importar definições de proxy HTTP do Internet Explorer para que Azure AD os agentes do Connect Health possam utilizar as definições. Em cada um dos servidores que executam o agente de estado de funcionamento, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

Pode importar definições de proxy WinHTTP para que os agentes do Azure AD Connect Health as possam utilizar. Em cada um dos servidores que executam o agente de estado de funcionamento, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

Especificar endereços proxy manualmente

Pode especificar manualmente um servidor proxy. Em cada um dos servidores que executam o agente de estado de funcionamento, execute o seguinte comando do PowerShell:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

Eis um exemplo:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Neste exemplo:

• A address definição pode ser um nome de servidor resolvível por DNS ou um endereço IPv4.
• Pode omitir port. Se o fizer, 443 é a porta predefinida.

Limpar a configuração de proxy existente

Pode limpar a configuração de proxy existente ao executar o seguinte comando:

Set-AzureAdConnectHealthProxySettings -NoProxy

Ler as definições de proxy atuais

Pode ler as definições de proxy atuais ao executar o seguinte comando:

Get-AzureAdConnectHealthProxySettings

Testar a conectividade ao serviço Azure AD Connect Health

Ocasionalmente, o agente do Azure AD Connect Health perde a conectividade com o serviço Azure AD Connect Health. As causas desta perda de conectividade podem incluir problemas de rede, problemas de permissões e vários outros problemas.

Se o agente não conseguir enviar dados para o serviço Azure AD Connect Health durante mais de duas horas, é apresentado o seguinte alerta no portal: Os dados do Serviço de Estado de Funcionamento não estão atualizados.

Pode descobrir se o agente do Azure AD Connect Health afetado pode carregar dados para o serviço Azure AD Connect Health ao executar o seguinte comando do PowerShell:

Test-AzureADConnectHealthConnectivity -Role ADFS

O Role parâmetro utiliza atualmente os seguintes valores:

• ADFS
• Sync
• ADDS

Nota

Para utilizar a ferramenta de conectividade, primeiro tem de registar o agente. Se não conseguir concluir o registo do agente, certifique-se de que cumpre todos os requisitos do Azure AD Connect Health. A conectividade é testada por predefinição durante o registo do agente.

Passos seguintes

Consulte os seguintes artigos relacionados:

• Azure AD Connect Health
• operações do Azure AD Connect Health
• Utilizar o Azure AD Connect Health com o AD FS
• Utilizar o Azure AD Connect Health para sincronização
• Utilizar o Azure AD Connect Health com o Azure AD DS
• FAQ do Azure AD Connect Health
• Histórico das versões do Azure AD Connect Health