Поделиться через


Установка агентов Работоспособности Microsoft Entra Connect

В этой статье вы узнаете, как установить и настроить агенты Microsoft Entra Connect Health.

Узнайте, как скачать агенты.

Заметка

Microsoft Entra Connect Health недоступна в национальном облаке Китая.

Требования

В следующей таблице перечислены требования к использованию Microsoft Entra Connect Health:

Требование Описание
У вас есть подписка Microsoft Entra ID P1 или P2. Microsoft Entra Connect Health — это функция Microsoft Entra ID P1 или P2. Дополнительные сведения см. в разделе "Регистрация для Microsoft Entra ID P1 или P2".

Чтобы начать бесплатную 30-дневную пробную версию, см. статью "Запуск пробной версии".
Вы являетесь глобальным администратором в идентификаторе Microsoft Entra. В настоящее время только учетные записи глобального администратора могут устанавливать и настраивать агенты работоспособности. Дополнительные сведения см. в разделе "Администрирование каталога Microsoft Entra".

С помощью управления доступом на основе ролей Azure (Azure RBAC) вы можете разрешить другим пользователям в организации доступ к Microsoft Entra Connect Health. Дополнительные сведения см. в статье Azure RBAC для Microsoft Entra Connect Health.

Важно. Используйте рабочую или учебную учетную запись для установки агентов. Для установки агентов нельзя использовать учетную запись Майкрософт. Дополнительные сведения см. в статье "Регистрация в Azure в качестве организации".
Агент Работоспособности Microsoft Entra Connect устанавливается на каждом целевом сервере. Агенты работоспособности должны быть установлены и настроены на целевых серверах, чтобы они могли получать данные и предоставлять возможности мониторинга и аналитики.

Например, чтобы получить данные из инфраструктуры службы федерации Active Directory (AD FS) (AD FS), необходимо установить агент на сервере AD FS и на прокси-сервере веб-приложения. Аналогичным образом, чтобы получить данные из локальной инфраструктуры доменных служб AD, необходимо установить агент на контроллерах домена.
Конечные точки службы Azure имеют исходящее подключение. Во время установки и выполнения агенту требуется подключение к конечным точкам службы Microsoft Entra Connect Health. Если брандмауэры блокируют исходящее подключение, добавьте конечные точки исходящего подключения в список разрешений.
Исходящее подключение основано на IP-адресах. Сведения о фильтрации брандмауэра на основе IP-адресов см. в разделах диапазонов IP-адресов Azure.
Проверка TLS для исходящего трафика отфильтровывается или отключается. Шаг регистрации агента или операции отправки данных могут завершиться ошибкой, если проверка или завершение исходящего трафика на сетевом уровне происходит сбоем. Дополнительные сведения см. в разделе "Настройка проверки TLS".
Порты брандмауэра на сервере выполняют агент. Агенту требуется открыть следующие порты брандмауэра, чтобы он смог взаимодействовать с конечными точками службы Работоспособности Microsoft Entra Connect:
— TCP-порт 443
— TCP-порт 5671

Последняя версия агента не требует порта 5671. Обновите до последней версии, чтобы требуется только порт 443. Дополнительные сведения см. в разделе "Гибридные удостоверения", необходимые для портов и протоколов.
Если включена расширенная безопасность Internet Explorer, разрешите указанные веб-сайты. Если включена расширенная безопасность Internet Explorer, разрешите следующие веб-сайты на сервере, на котором установлен агент:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
— Сервер федерации для вашей организации, доверенный идентификатором Microsoft Entra (например, https://sts.contoso.com).

Дополнительные сведения см. в разделе "Настройка Internet Explorer". Если у вас есть прокси-сервер в сети, обратите внимание, которое отображается в конце этой таблицы.
Устанавливается PowerShell версии 5.0 или более поздней. Windows Server 2016 включает PowerShell версии 5.0.

Важный

Windows Server Core не поддерживает установку агента Microsoft Entra Connect Health.

Заметка

Если у вас есть высоко заблокированная и ограниченная среда, необходимо добавить дополнительные URL-адреса, чем URL-адреса, списки таблиц для расширенной безопасности Internet Explorer. Кроме того, добавьте URL-адреса, перечисленные в таблице в следующем разделе.

Важный

Если вы установили синхронизацию Microsoft Entra Connect с учетной записью с ролью гибридного администратора, агент будет находиться в отключенном состоянии. Чтобы активировать агент, необходимо повторно установить его с помощью учетной записи, которая является глобальным администратором.

Новые версии агента и автоматическое обновление

Если выпущена новая версия агента работоспособности, все существующие агенты будут автоматически обновлены.

Исходящее подключение к конечным точкам службы Azure

Во время установки и среды выполнения агент должен подключаться к конечным точкам службы Microsoft Entra Connect Health. Если брандмауэры блокируют исходящее подключение, убедитесь, что URL-адреса в следующей таблице не блокируются по умолчанию.

Не отключать мониторинг безопасности или проверку этих URL-адресов. Вместо этого разрешите их, так как вы разрешаете другой интернет-трафик.

Эти URL-адреса позволяют взаимодействовать с конечными точками службы Microsoft Entra Connect Health. Далее в этой статье вы узнаете, как проверить исходящее подключение с помощью Test-MicrosoftEntraConnectHealthConnectivity.

Доменная среда Обязательные конечные точки службы Azure
Общедоступная - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net — Порт: 5671 (если 5671 заблокирован, агент возвращается до 443, но рекомендуется использовать порт 5671. Эта конечная точка не требуется в последней версии агента.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Эта конечная точка используется только для целей обнаружения во время регистрации.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure для государственных организаций - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Эта конечная точка используется только для целей обнаружения во время регистрации.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Скачивание агентов

Чтобы скачать и установить агент Microsoft Entra Connect Health, выполните следующие действия.

Установка агента для AD FS

Сведения об установке и мониторинге AD FS с помощью агента Microsoft Entra Connect Health см. в статье Microsoft Entra Connect Health agent for AD FS.

Установка агента для синхронизации

Агент Microsoft Entra Connect Health для синхронизации устанавливается автоматически в последней версии Microsoft Entra Connect. Чтобы использовать Microsoft Entra Connect для синхронизации, скачайте последнюю версию Microsoft Entra Connect и установите ее.

Чтобы убедиться, что агент установлен, найдите следующие службы на сервере. Если вы завершили настройку, службы уже должны выполняться. В противном случае службы остановлены до завершения конфигурации.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Снимок экрана: запущенная служба Microsoft Entra Connect Health для служб синхронизации на сервере.

Заметка

Помните, что для использования Microsoft Entra Connect Health необходимо иметь идентификатор Microsoft Entra ID P1 или P2. Если у вас нет идентификатора Microsoft Entra ID P1 или P2, вы не можете завершить настройку в Центре администрирования Microsoft Entra. Дополнительные сведения см. в требованиях.

Вручную зарегистрируйте Microsoft Entra Connect Health для синхронизации

Если служба Microsoft Entra Connect Health для регистрации агента синхронизации завершается сбоем после успешной установки Microsoft Entra Connect, можно использовать команду PowerShell для ручной регистрации агента.

Важный

Используйте эту команду PowerShell, только если регистрация агента завершается ошибкой после установки Microsoft Entra Connect.

Вручную зарегистрируйте агент Microsoft Entra Connect Health для синхронизации с помощью следующей команды PowerShell. Службы работоспособности Microsoft Entra Connect начнутся после успешной регистрации агента.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Команда принимает следующие параметры:

  • AttributeFiltering: $true (по умолчанию), если Microsoft Entra Connect не синхронизирует набор атрибутов по умолчанию и был настроен для использования отфильтрованного набора атрибутов. В противном случае используйте $false.
  • StagingMode: $false (по умолчанию), если сервер Microsoft Entra Connect не находится в промежуточном режиме. Если сервер настроен на промежуточный режим, используйте $true.

При появлении запроса на проверку подлинности используйте ту же учетную запись глобального администратора (например admin@domain.onmicrosoft.com), которую вы использовали для настройки Microsoft Entra Connect.

Установка агента для доменных служб AD

Чтобы запустить установку агента, дважды щелкните скачанный файл .exe . В первом окне выберите "Установить".

Снимок экрана: окно установки Microsoft Entra Connect Health для AD DS.

При появлении запроса войдите с помощью учетной записи Microsoft Entra с разрешениями на регистрацию агента. По умолчанию у учетной записи гибридного администратора удостоверений есть разрешения.

Снимок экрана: окно входа для Microsoft Entra Connect Health AD DS.

После входа процесс установки завершится и вы можете закрыть окно.

Снимок экрана: сообщение подтверждения для установки агента Microsoft Entra Connect Health AD DS.

На этом этапе службы агента должны начать автоматически разрешать агенту безопасно отправлять необходимые данные в облачную службу.

Чтобы убедиться, что агент установлен, найдите следующие службы на сервере. Если вы завершили настройку, они уже должны работать. В противном случае они остановлены до завершения конфигурации.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Снимок экрана: службы Microsoft Entra Connect Health AD DS.

Быстрая установка агента на нескольких серверах

  1. Создайте учетную запись пользователя в идентификаторе Microsoft Entra. Защита учетной записи с помощью пароля.

  2. Назначьте роль владельца этой локальной учетной записи Microsoft Entra в Microsoft Entra Connect Health с помощью портала. Назначьте роль всем экземплярам службы.

  3. Скачайте .exe MSI-файл в локальном контроллере домена для установки.

  4. Выполните следующий скрипт. Замените параметры новой учетной записью пользователя и его паролем.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

По завершении можно удалить доступ к локальной учетной записи, выполнив одну или несколько следующих задач:

  • Удалите назначение ролей для локальной учетной записи microsoft Entra Connect Health.
  • Смена пароля для локальной учетной записи.
  • Отключите локальную учетную запись Microsoft Entra.
  • Удалите локальную учетную запись Microsoft Entra.

Регистрация агента с помощью PowerShell

После установки соответствующего агента setup.exe файл можно зарегистрировать агент с помощью следующих команд PowerShell в зависимости от роли. Откройте PowerShell от имени администратора и выполните соответствующую команду:

Register-MicrosoftEntraConnectHealthAgent

Заметка

Чтобы зарегистрировать в национальных облаках, используйте следующие командные строки:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Эти команды принимают Credential в качестве параметра, чтобы завершить регистрацию неинтерактивно или завершить регистрацию на компьютере с серверным ядром. Имейте в виду следующие факторы:

  • Вы можете записать Credential в переменную PowerShell, передаваемую в качестве параметра.
  • Вы можете указать любое удостоверение Microsoft Entra, которое имеет разрешения на регистрацию агентов и не имеет многофакторной проверки подлинности.
  • По умолчанию глобальные администраторы имеют разрешения на регистрацию агентов. Вы также можете разрешить удостоверения с менее привилегированными правами для этого шага. Дополнительные сведения см. в статье Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Настройка агентов работоспособности Microsoft Entra Connect для использования прокси-сервера HTTP

Агенты Работоспособности Microsoft Entra Connect можно настроить для работы с прокси-сервером HTTP.

Заметка

  • Netsh WinHttp set ProxyServerAddress не поддерживается. Агент использует System.Net вместо служб Windows HTTP для выполнения веб-запросов.
  • Настроенный прокси-адрес HTTP используется для передачи зашифрованных сообщений HTTPS.
  • Прокси-серверы с проверкой подлинности (с помощью HTTPBasic) не поддерживаются.

Изменение конфигурации прокси-сервера агента

Чтобы настроить агент Microsoft Entra Connect Health для использования прокси-сервера HTTP, можно:

  • Импорт существующих параметров прокси-сервера.
  • Укажите адреса прокси-сервера вручную.
  • Очистка существующей конфигурации прокси-сервера.

Заметка

Чтобы обновить параметры прокси-сервера, необходимо перезапустить все службы агента Microsoft Entra Connect Health. Чтобы перезапустить все агенты, выполните следующую команду:

Restart-Service AzureADConnectHealthAgent*

Импорт существующих параметров прокси-сервера

Вы можете импортировать параметры прокси-сервера HTTP Internet Explorer, чтобы агенты Microsoft Entra Connect Health могли использовать эти параметры. На каждом из серверов, на которых запущен агент работоспособности, выполните следующую команду PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Вы можете импортировать параметры прокси-сервера WinHTTP, чтобы агенты Microsoft Entra Connect Health могли использовать их. На каждом из серверов, на которых запущен агент работоспособности, выполните следующую команду PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Указание прокси-адресов вручную

Можно вручную указать прокси-сервер. На каждом из серверов, на которых запущен агент работоспособности, выполните следующую команду PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Ниже приведен пример:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

В этом примере:

  • Этот address параметр может быть dns-разрешаемым именем сервера или IPv4-адресом.
  • Вы можете опустить port. Если это сделать, 443 является портом по умолчанию.

Очистка существующей конфигурации прокси-сервера

Вы можете очистить существующую конфигурацию прокси-сервера, выполнив следующую команду:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Чтение текущих параметров прокси-сервера

Чтобы прочитать текущие параметры прокси-сервера, выполните следующую команду:

Get-MicrosoftEntraConnectHealthProxySettings

Проверка подключения к службе работоспособности Microsoft Entra Connect

Иногда агент Microsoft Entra Connect Health теряет подключение к службе Работоспособности Microsoft Entra Connect. Причины этой потери подключения могут включать проблемы сети, проблемы с разрешениями и различные другие проблемы.

Если агент не может отправлять данные в службу работоспособности Microsoft Entra Connect дольше двух часов, на портале появится следующее оповещение: служба работоспособности данные не актуальны.

Вы можете узнать, может ли затронутый агент Microsoft Entra Connect Health отправлять данные в службу работоспособности Microsoft Entra Connect, выполнив следующую команду PowerShell:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

В настоящее время параметр Role принимает следующие значения:

  • ADFS
  • Sync
  • ADDS

Заметка

Чтобы использовать средство подключения, необходимо сначала зарегистрировать агент. Если вы не можете завершить регистрацию агента, убедитесь, что выполнены все требования для Microsoft Entra Connect Health. Подключение проверяется по умолчанию во время регистрации агента.

Дальнейшие действия

Ознакомьтесь со следующими статьями: