Установка агентов Azure AD Connect Health

Из этой статьи вы узнаете, как установить и настроить агенты Azure AD Connect Health.

Узнайте, как скачать агенты.

Примечание

Azure AD Connect Health недоступна в национальном облаке Для Китая.

Требования

В следующей таблице перечислены требования к использованию Azure AD Connect Health.

Требование	Описание
У вас есть подписка Azure Active Directory (Azure AD) premium (P1 или P2).	Azure AD Connect Health представляет собой функцию Azure AD Premium (P1 или P2). Дополнительные сведения см. в статье Подписка на службу Azure AD Premium. Чтобы запустить бесплатную 30-дневную пробную версию, перейдите в раздел Запуск пробной версии.
Вы являетесь администратором гибридных удостоверений в Azure AD.	По умолчанию только учетные записи администратора гибридных удостоверений и глобального администратора могут устанавливать и настраивать агенты работоспособности, получать доступ к порталу и выполнять любые операции в Azure AD Connect Health. Дополнительные сведения см. в статье Администрирование каталога Azure AD. Управление доступом на основе ролей Azure (Azure RBAC) позволяет предоставить другим пользователям в организации доступ к Azure AD Connect Health. Дополнительные сведения см. в статье Azure RBAC для Azure AD Connect Health. Важно! . Для установки агентов используйте рабочую или учебную учетную запись. Для установки агентов нельзя использовать учетную запись Майкрософт. Дополнительные сведения см. в статье Подписка на службу Azure для организации.
Агент Azure AD Connect Health следует установить на всех целевых серверах.	На целевых серверах следует установить и настроить агентов работоспособности, чтобы серверы могли получать данные и предоставлять возможности мониторинга и аналитики. Например, чтобы получить данные из инфраструктуры службы федерации Active Directory (AD FS) (AD FS), необходимо установить агент на сервере AD FS и на сервере веб-Application Proxy. Аналогичным образом, чтобы получить данные из локальной инфраструктуры Azure доменные службы Active Directory (Azure AD DS), необходимо установить агент на контроллерах домена.
Конечные точки службы Azure имеют исходящее подключение.	Во время установки и выполнения агенту требуется подключение к конечным точкам службы Azure AD Connect Health. Если брандмауэры блокируют исходящее подключение, добавьте конечные точки исходящего подключения в список разрешений.
Исходящее подключение основано на IP-адресах.	Сведения о фильтрации брандмауэра по IP-адресам см. в разделе Диапазоны IP-адресов Azure.
Проверка TLS для исходящего трафика фильтруется или отключена.	Операции отправки данных или регистрация агента могут завершиться ошибкой в случае проверки TLS или завершения исходящего трафика на уровне сети. Дополнительные сведения см. в статье Настройка проверки TLS.
Порты брандмауэра на сервере запускают агент.	Для работы агента необходимо открыть следующие порты брандмауэра, чтобы он мог взаимодействовать с конечными точками службы Azure AD Connect Health: — TCP-порт 443 — TCP-порт 5671 Для последней версии агента не требуется порт 5671. Обновите до последней версии, чтобы требовался только порт 443. Дополнительные сведения см. в статье Порты и протоколы, необходимые для гибридной идентификации.
Если включена функция усиленной безопасности Internet Explorer, разрешите указанные веб-сайты.	Если включена расширенная безопасность Internet Explorer, разрешите следующие веб-сайты на сервере, где установлен агент: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net — сервер федерации для вашей организации, которому доверяет Azure AD (например, https://sts.contoso.com). Дополнительные сведения см. в статье Настройка Internet Explorer. Если у вас есть прокси-сервер в сети, см. примечание, которое отображается в конце этой таблицы.
Установлен PowerShell версии 5.0 или более поздней.	Windows Server 2016 содержит службу PowerShell 5.0.

Важно!

Windows Server Core не поддерживает установку агента Azure AD Connect Health.

Примечание

Если у вас сильно заблокированная и ограниченная среда, необходимо добавить больше URL-адресов, чем URL-адреса, которые перечислены в таблице для усиленной безопасности Internet Explorer. Кроме того, добавьте URL-адреса, перечисленные в таблице в следующем разделе.

Новые версии агента и автоматическое обновление

При выпуске новой версии агента работоспособности все существующие установленные агенты обновляются автоматически.

Исходящее подключение к конечным точкам службы Azure

Во время установки и выполнения агенту необходимо подключение к конечным точкам службы Azure AD Connect Health. Если брандмауэры блокируют исходящие подключения, убедитесь, что URL-адреса, указанные в следующей таблице, не заблокированы по умолчанию.

Не отключайте контроль безопасности и проверку этих URL-адресов. Вместо этого разрешите их также, как и другой интернет-трафик.

Эти URL-адреса разрешают обмен данными с конечными точками службы Azure AD Connect Health. Далее в этой статье описан способ проверки исходящих подключений с помощью Test-AzureADConnectHealthConnectivity.

Доменная среда	Требуемые конечные точки службы Azure
Общедоступная сеть	- *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net — Порт: 5671 (если 5671 заблокирован, агент возвращается к 443, но мы рекомендуем использовать порт 5671. Эта конечная точка не требуется в последней версии агента.) - *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Эта конечная точка используется только для обнаружения во время регистрации.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure для Германии	- *.blob.core.cloudapi.de - *.servicebus.cloudapi.de - *.aadconnecthealth.microsoftazure.de - https://management.microsoftazure.de - https://policykeyservice.aadcdi.microsoftazure.de - https://login.microsoftonline.de - https://secure.aadcdn.microsoftonline-p.de - https://www.office.de (Эта конечная точка используется только для обнаружения во время регистрации.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net
Azure для государственных организаций	- *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Эта конечная точка используется только для обнаружения во время регистрации.) - https://aadcdn.msftauth.net - https://aadcdn.msauth.net

Скачивание агентов

Для загрузки и установки Azure AD Connect Health выполните действия, описанные ниже.

• Убедитесь, что вы соответствуете требованиям для установки Azure AD Connect Health.
• Для начала работы с Azure AD Connect Health для AD FS выполните следующее:
  • загрузите Azure AD Connect Health для AD FS;
  • ознакомьтесь с инструкциями по установке.
• Начало работы с Azure AD Connect Health для синхронизации:
  • Скачайте и установите последнюю версию Azure AD Connect. Агент работоспособности для синхронизации устанавливается в рамках установки Azure AD Connect (версии 1.0.9125.0 или более поздней).
• Для начала работы с Azure AD Connect Health для Azure AD DS:
  • загрузите Azure AD Connect Health для Azure AD DS;
  • ознакомьтесь с инструкциями по установке.

Установка агента для AD FS

Примечание

Сервер AD FS должен быть отделен от сервера синхронизации. Не устанавливайте агент AD FS на сервере синхронизации.

Перед установкой убедитесь, что имя узла сервера AD FS является уникальным и не существует в службе AD FS.

Чтобы начать установку агента, дважды щелкните скачанный файл.exe . В первом диалоговом окне выберите Установить.

По завершении установки выберите Configure Now.

Откроется окно PowerShell для запуска процесса регистрации агента. При появлении запроса войдите в систему, используя учетную запись Azure AD с разрешениями на регистрацию агента. По умолчанию учетная запись администратора гибридных удостоверений имеет разрешения.

После входа PowerShell продолжит установку. По завершении вы можете закрыть PowerShell. Настройка завершена.

На этом этапе службы агента должны автоматически разрешить агенту безопасно отправлять необходимые данные в облачную службу.

Если вы не выполнили все предварительные требования, в окне PowerShell появятся предупреждения. Перед установкой агента необходимо выполнить требования. На следующем снимке экрана приведен пример этих предупреждений.

Чтобы проверить, установлен ли агент, найдите приведенные ниже службы в контроллере домена. Если вы выполнили настройку, эти службы должны работать. В противном случае они не запустятся, пока не будет выполнена настройка.

• Служба диагностики AD FS Azure AD Connect Health
• Служба AD FS получения ценной информации из данных о работоспособности Azure AD Connect
• Служба наблюдения AD FS Azure AD Connect Health

Включение аудита для AD FS

Примечание

Этот раздел относится только к серверам AD FS. Эти действия не нужно выполнять на серверах веб-Application Proxy.

Функции аналитики использования необходимо собирать и анализировать данные, поэтому агенту Azure AD Connect Health требуется информация в журналах аудита AD FS. По умолчанию эти журналы не включены. Используйте описанные ниже процедуры, чтобы включить аудит AD FS и выполнять поиск журналов аудита AD FS на серверах AD FS.

Включение аудита для AD FS на Windows Server 2012 R2

1. На экране запуска откройте Диспетчер сервера, затем откройте локальную политику безопасности. Или на панели задач откройте диспетчер сервера, а затем выберите Сервис/Локальная политика безопасности.

2. Перейдите в папку Параметры безопасности\Локальные политики\Назначение прав пользователей. Дважды щелкните Создать аудит безопасности.

3. На вкладке Параметр локальной безопасности убедитесь, что в списке указана учетная запись службы AD FS. Если его нет в списке, выберите Добавить пользователя или группу и добавьте в список учетную запись службы AD FS. Нажмите кнопку ОК.

4. Чтобы включить аудит, откройте окно командной строки от имени администратора и выполните следующую команду:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Закройте вкладку Параметры локальной безопасности.

   Важно!

   Остальные действия необходимы только для основных серверов AD FS.

6. Откройте оснастку Управление AD FS. (В разделе Диспетчер сервера выберите Инструменты>Управление AD FS.)

7. На панели Действия выберите действие Изменить свойства службы федерации.

8. В диалоговом окне Свойства службы федерации выберите вкладку События .

9. Установите флажки Успешные аудиты и Неудачные аудиты , а затем нажмите кнопку ОК.

10. Чтобы включить функцию подробного ведения журнала с помощью PowerShell, используйте следующую команду:

    Set-AdfsProperties -LOGLevel Verbose

Включение аудита для AD FS на Windows Server 2016

1. На экране запуска откройте Диспетчер сервера, затем откройте локальную политику безопасности. Или на панели задач откройте диспетчер сервера, а затем выберите Сервис/Локальная политика безопасности.

2. Перейдите в папку Параметры безопасности\Локальные политики\Назначение прав пользователей. Дважды щелкните Создать аудит безопасности.

3. На вкладке Параметр локальной безопасности убедитесь, что в списке указана учетная запись службы AD FS. Если его нет в списке, выберите Добавить пользователя или группу и добавьте в список учетную запись службы AD FS. Нажмите кнопку ОК.

4. Чтобы включить аудит, откройте окно командной строки от имени администратора и выполните следующую команду:

   auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

5. Закройте вкладку Параметры локальной безопасности.

   Важно!

   Остальные действия необходимы только для основных серверов AD FS.

6. Откройте оснастку Управление AD FS. (В разделе Диспетчер сервера выберите Инструменты>Управление AD FS.)

7. На панели Действия выберите действие Изменить свойства службы федерации.

8. В диалоговом окне Свойства службы федерации выберите вкладку События .

9. Установите флажки Успешные аудиты и Неудачные аудиты , а затем нажмите кнопку ОК. Элементы "Успешные события аудита" и "Неудачные события аудита" должны быть включены по умолчанию.

10. Откройте окно PowerShell и выполните следующую команду:

    Set-AdfsProperties -AuditLevel Verbose

По умолчанию включен "базовый" уровень аудита. Дополнительные сведения см. в статье Усовершенствование аудита AD FS в Windows Server 2016.

Поиск журналов аудита AD FS

1. Откройте средство просмотра событий.

2. Перейдите в раздел Журналы Windows и выберите Безопасность.

3. В области справа выберите Фильтровать текущие журналы.

4. В поле Источник события выберите Аудит AD FS.

   Дополнительные сведения о журналах аудита см. в статье Вопросы управления.

   

Предупреждение

Групповая политика может отключить аудит AD FS. Если аудит AD FS отключен, аналитика использования в отношении действий входа недоступна. Убедитесь, что отсутствует групповая политика, которая может отключить аудит AD FS.

Установка агента для синхронизации

Агент Azure AD Connect Health для синхронизации устанавливается автоматически в последней версии Azure AD Connect. Чтобы использовать Azure AD Connect для синхронизации, скачайте последнюю версию Azure AD Connect и установите ее.

Чтобы убедиться, что агент установлен, найдите следующие службы на сервере. Если вы выполнили настройку, эти службы уже должны работать. В противном случае они не запустятся, пока не будет выполнена настройка.

• Служба Sync Insights Azure AD Connect Health
• Служба Sync Monitoring Azure AD Connect Health

Примечание

Обратите внимание, что для использования Azure AD Connect Health необходимо иметь Azure AD Premium (P1 или P2). Если Azure AD Premium отсутствует, вы не сможете завершить конфигурацию на портале Azure. Дополнительные сведения см. на странице требований.

Регистрация Azure AD Connect Health для синхронизации вручную

Если Azure AD Connect Health для регистрации агента синхронизации завершается сбоем после успешной установки Azure AD Connect Connect, можно вручную зарегистрировать агент с помощью команды PowerShell.

Важно!

Используйте эту команду PowerShell при сбое регистрации агента после установки Azure AD Connect.

Вручную зарегистрируйте агент Azure AD Connect Health для синхронизации с помощью следующей команды PowerShell. Службы Azure AD Connect Health запустятся после того, как агент будет успешно зарегистрирован.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

Команда принимает следующие параметры:

• AttributeFiltering: $true (по умолчанию), если Azure AD Connect не синхронизирует набор атрибутов по умолчанию и настроен для использования отфильтрованного набора атрибутов. В противном случае используйте коллекцию $false.
• StagingMode: $false (по умолчанию), если сервер Azure AD Connect не находится в промежуточном режиме. Если сервер настроен для работы в промежуточном режиме, используйте параметр $true.

При появлении запроса на проверку подлинности используйте ту же учетную запись глобального администратора (например, admin@domain.onmicrosoft.com), которая использовалась для настройки Azure AD Connect.

Установка агента для Microsoft Azure Active Directory DS

Дважды щелкните скачанный .exe-файл, чтобы начать установку агента. В первом окне выберите Install.

По завершении установки нажмите кнопку Настроить.

Откроется окно командной строки. PowerShell выполняет команду Register-AzureADConnectHealthADDSAgent. Войдите в Azure, когда появится соответствующий запрос.

После входа в систему PowerShell продолжится. По завершении вы можете закрыть PowerShell. Настройка завершена.

На этом этапе службы должны запускаться автоматически, позволяя агенту выполнять мониторинг и сбор данных. Если вы не выполнили все предварительные требования, описанные в предыдущих разделах, в окне PowerShell появятся предупреждения. Перед установкой агента необходимо выполнить требования. На следующем снимке экрана приведен пример этих предупреждений.

Чтобы проверить, установлен ли агент, найдите на контроллере домена следующие службы:

• служба AD DS для Azure AD Connect Health;
• служба наблюдения AD DS Azure AD Connect Health.

Если вы выполнили настройку, эти службы должны работать. В ином случае, службы не будут работать до завершения настройки.

Быстрая установка агента на нескольких серверах

1. Создайте учетную запись пользователя в Microsoft Azure Active Directory. Защитите учетную запись с помощью пароля.

2. Назначьте роль владельца для этой локальной учетной записи Azure AD в Azure AD Connect Health с помощью портала. Назначьте роль всем экземплярам службы.

3. Для установки загрузите файл MSI .exe на локальном контроллере домена.

4. Выполните следующий сценарий. Замените параметры новой учетной записью пользователя и ее паролем.

   AdHealthAddsAgentSetup.exe /quiet
   Start-Sleep 30
   $userName = "NEWUSER@DOMAIN"
   $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
   $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
   import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
   
   Register-AzureADConnectHealthADDSAgent -Credential $myCreds
   

По завершении можно удалить доступ к локальной учетной записи, выполнив одну или несколько из следующих задач:

• Удалите назначение ролей для локальной учетной записи для Azure AD Connect Health.
• Замените пароль для локальной учетной записи.
• Отключите локальную учетную запись Microsoft Azure Active Directory.
• Удалите локальную учетную запись Microsoft Azure Active Directory.

Регистрация агента с помощью PowerShell

После установки соответствующего файла агентаsetup.exe агент можно зарегистрировать с помощью следующих команд PowerShell в зависимости от роли. Откройте PowerShell от имени администратора и выполните соответствующую команду:

Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

Примечание

Для регистрации в национальных облаках используйте следующие командные строки:

Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

Эти команды принимают Credential в качестве параметра для завершения регистрации в неинтерактивном режиме или для завершения регистрации на компьютере под управлением основных серверных компонентов. Учитывайте следующие факторы:

• Вы можете захватить Credential в переменную PowerShell, которая передается в качестве параметра.
• Вы можете предоставить любое Azure AD удостоверение, которое имеет разрешения на регистрацию агентов и не имеет включенной многофакторной проверки подлинности.
• Глобальные администраторы имеют разрешения на регистрацию агентов по умолчанию. Также можно разрешить выполнение этого шага другим пользователям с меньшими привилегиями. Дополнительные сведения см. в статье Azure RBAC.

    $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

Настройка агентов Azure AD Connect Health для использования HTTP-прокси

Агенты Azure AD Connect Health можно настроить на работу с HTTP-прокси.

Примечание

• Netsh WinHttp set ProxyServerAddress не поддерживается. Чтобы выполнять веб-запросы, агент использует System.Net вместо служб HTTP Windows.
• Настроенный прокси-адрес HTTP используется для передачи зашифрованных сообщений HTTPS.
• Прокси-серверы с проверкой подлинности (с использованием HTTPBasic) не поддерживаются.

Изменение конфигурации прокси-сервера агента

Чтобы настроить агент Azure AD Connect Health для использования прокси-сервера HTTP, можно выполнить следующие действия:

• импортировать имеющиеся параметры прокси-сервера;
• указать адреса прокси-сервера вручную;
• очистить имеющуюся конфигурацию прокси-сервера.

Примечание

Чтобы обновить параметры прокси-сервера, необходимо перезапустить все службы агента Azure AD Connect Health. Чтобы перезапустить все агенты, выполните следующую команду:

Restart-Service AdHealthAdfs*

Импорт имеющихся параметров прокси-сервера

Вы можете импортировать параметры прокси-сервера HTTP Internet Explorer, чтобы Azure AD Агенты Connect Health могли использовать эти параметры. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

Параметры прокси-сервера WinHTTP можно импортировать, чтобы агенты Azure AD Connect Health могли их использовать. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

Задание адресов прокси-сервера в ручном режиме

Прокси-сервер можно задать в ручном режиме. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

Ниже приведен пример:

Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

В этом примере:

• Параметр address может быть именем сервера, разрешимым в DNS, или адресом IPv4.
• Значение port можно опустить. В этом случае портом по умолчанию является 443.

Очистка текущей конфигурации прокси-сервера

Чтобы очистить текущую конфигурацию прокси-сервера, выполните следующую команду:

Set-AzureAdConnectHealthProxySettings -NoProxy

Считывание текущих параметров прокси-сервера

Текущие параметры прокси-сервера можно считать с помощью следующей команды:

Get-AzureAdConnectHealthProxySettings

Проверка подключения к службе Azure AD Connect Health

Иногда агент Azure AD Connect Health теряет подключение к службе Azure AD Connect Health. Причиной такой потери подключения могут быть проблемы с сетью, разрешениями и другие проблемы.

Если агенту не удается отправить данные в службу Azure AD Connect Health дольше двух часов, на портале появится следующее предупреждение: Данные службы работоспособности не обновлены.

Чтобы выяснить, может ли затронутый агент Azure AD Connect Health передавать данные в службу Azure AD Connect Health, выполните следующую команду PowerShell:

Test-AzureADConnectHealthConnectivity -Role ADFS

В Role настоящее время параметр принимает следующие значения:

• ADFS
• Sync
• ADDS

Примечание

Чтобы использовать средство подключения, сначала необходимо зарегистрировать агента. Если не удается завершить регистрацию агента, убедитесь, что выполнены все требования для Azure AD Connect Health. По умолчанию подключение проверяется в процессе регистрации агента.

Дальнейшие действия

Ознакомьтесь с указанными ниже статьями по этой теме.

• Azure AD Connect Health
• Операции Azure AD Connect Health
• Использование Azure AD Connect Health с AD FS
• Использование Azure AD Connect Health для синхронизации
• Использование Azure AD Connect Health с Azure AD DS
• Часто задаваемые вопросы об Azure AD Connect Health
• Azure AD Connect Health: история выпусков версий