安装 Microsoft Entra Connect Health 代理
在本文中,你将了解如何安装和配置 Microsoft Entra Connect Health 代理。
了解如何下载代理。
注意
中国主权云中不提供Microsoft Entra Connect Health。
要求
下表列出使用 Microsoft Entra Connect Health 的要求:
| 要求 | 说明 |
|---|---|
| 你有一个 Microsoft Entra ID P1 或 P2 订阅。 | Microsoft Entra Connect Health 是 Microsoft Entra ID P1 或 P2 的一项功能。 有关详细信息,请参阅 注册 Microsoft Entra ID P1 或 P2。 若要开始 30 天免费试用,请参阅开始试用。 |
| 你是 Microsoft Entra ID 全局管理员。 | 目前,只有全局管理员帐户可以安装和配置运行状况代理。 有关详细信息,请参阅管理 Microsoft Entra 目录。 利用基于 Azure 角色的访问控制 (Azure RBAC),你可以让组织中的其他用户访问 Microsoft Entra Connect Health。 要了解详情,请参阅 适用于 Microsoft Entra Connect Health 的 Azure RBAC。 重要说明:使用工作或学校帐户安装代理。 不能使用 Microsoft 帐户安装代理。 有关详细信息,请参阅以组织的身份注册 Azure。 |
| Microsoft Entra Connect Health 代理已安装在每台目标服务器上。 | 必须在目标服务器上安装和配置 Health 代理,以便他们能够接收数据并提供监视和分析功能。 例如,要从 Active Directory 联合身份验证服务 (AD FS) 基础结构获取数据,必须在 AD FS 服务器和 Web 应用程序代理服务器上安装代理。 同样,若要从本地 AD 域服务基础结构获取数据,必须在域控制器上安装代理。 |
| Azure 服务终结点具有出站连接。 | 在安装期间和运行时,代理需要连接到 Microsoft Entra Connect Health 服务终结点。 如果防火墙阻止出站连接,请将出站连接终结点添加到允许列表中。 |
| 出站连接基于 IP 地址。 | 有关基于 IP 地址的防火墙筛选的信息,请参阅 Azure IP 范围。 |
| 已为出站流量筛选或禁用 TLS 检查。 | 如果在网络层针对出站流量设置了 TLS 检查或终止,则代理注册步骤或数据加载操作可能会失败。 有关详细信息,请参阅设置 TLS 检查。 |
| 服务器上的防火墙端口正在运行代理。 | 代理需要打开以下防火墙端口,以便与 Microsoft Entra Connect Health 服务终结点通信: - TCP 端口 443 - TCP 端口 5671 最新版本的代理不需要端口 5671。 升级到最新版本,以便只需要端口 443。 有关详细信息,请参阅混合标识所需的端口和协议。 |
| 如果启用了 Internet Explorer 增强的安全性,则允许指定的网站。 | 如果启用了 Internet Explorer 增强的安全性,则在安装代理的服务器上允许以下网站: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - 受 Microsoft Entra ID信任的组织的联合服务器(例如 https://sts.contoso.com)。 有关详细信息,请参阅如何配置 Internet Explorer。 如果网络中存在代理,请参阅此表末尾显示的注释。 |
| 已安装 PowerShell 版本 5.0 或更高版本。 | Windows Server 2016 包括 PowerShell 版本 5.0。 |
重要
Windows Server Core 不支持安装 Microsoft Entra Connect Health 代理。
注意
如果具有高度锁定和受限的环境,与该表为 Internet Explorer 增强的安全性列出的 URL 相比,你需要添加更多的 URL。 还要添加下一部分的表中列出的 URL。
新版本的代理和自动升级
如果发布了新版本的 Health 代理,则将自动更新任何现有的已安装代理。
Azure 服务终结点的出站连接
在安装期间和运行时,代理需要连接到 Microsoft Entra Connect Health 服务终结点。 如果防火墙阻止出站连接,请确保以下表中的 URL 默认情况下不会被阻止。
不要禁用这些 URL 的安全监视或检查。 相反,像允许其他 Internet 流量一样允许它们。
这些 URL 允许与 Microsoft Entra Connect Health 服务终结点通信。 在本文的后面部分中,你讲了解如何使用 Test-MicrosoftEntraConnectHealthConnectivity检查出站连接。
| 域环境 | 所需的 Azure 服务终结点 |
|---|---|
| 一般公众 | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - 端口:5671(如果阻止了 5671,则代理将回退到 443,但建议使用端口 5671。最新版本的代理不需要使用此终结点。)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com(*此终结点仅在注册过程中用于发现目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com(*此终结点仅在注册过程中用于发现目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
下载代理
若要下载并安装 Microsoft Entra Connect Health 代理:
- 请务必满足要求才能安装 Microsoft Entra Connect Health。
- 开始使用适用于 AD FS 的 Microsoft Entra Connect Health :
- 开始使用 Microsoft Entra Connect Health 进行同步:
- 下载并安装最新版本的 Microsoft Entra Connect。 在安装 Microsoft Entra Connect 的过程中,会安装适用于同步的 Health 代理(1.0.9125.0 或更高版本)。
- 开始使用适用于 AD 域服务的 Microsoft Entra Connect Health :
为 AD FS 安装代理
有关使用 Microsoft Entra Connect Health 代理安装和监视 AD FS 的信息,请参阅适用于 AD FS 的 Microsoft Entra Connect Health 代理。
安装适用于同步的代理
用于同步的 Microsoft Entra Connect Health 代理会自动安装到最新版本的 Microsoft Entra Connect 中。 若要使用 Microsoft Entra Connect 进行同步,请下载最新版本的 Microsoft Entra Connect 并安装它。
要验证是否已安装代理,请在服务器上查看以下服务。 如果已完成配置,这些服务应已运行。 否则,这些服务会停止,直到完成配置。
- Microsoft Entra Connect 代理更新程序
- Microsoft Entra Connect Health 代理
注意
请记住,必须具有 Microsoft Entra ID P1 或 P2 才能使用 Microsoft Entra Connect Health。 如果没有 Microsoft Entra ID P1 或 P2,则无法在 Microsoft Entra 管理中心 中完成配置。 有关详细信息,请参阅要求。
手动注册 Microsoft Entra Connect Health 进行同步
如果适用于同步的 Microsoft Entra Connect Health 代理在成功安装 Microsoft Entra Connect 后注册失败,则可以使用 PowerShell 命令来手动注册代理。
重要
仅当在安装 Microsoft Entra Connect 后代理注册失败时,才使用此 PowerShell 命令。
使用以下 PowerShell 命令,手动注册用于同步的 Microsoft Entra Connect Health 代理。 成功注册代理之后,Microsoft Entra Connect Health 服务会启动。
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
此命令采用以下参数:
AttributeFiltering:$true(默认值)如果 Microsoft Entra Connect 未同步默认特性集,且已自定义为使用筛选的属性集。 否则使用$false。StagingMode:$false(默认值)如果 Microsoft Entra Connect 服务器未处于暂存模式。 如果将服务器配置为处于暂存模式,请使用$true。
当系统提示进行身份验证时,请使用用于配置 Microsoft Entra Connect 的同一全局管理员帐户(例如 admin@domain.onmicrosoft.com)。
安装 AD 域服务的代理
若要启动代理安装,请双击下载的 .exe 文件。 在第一个窗口中,选择“安装”。
出现提示时,请使用具有注册代理权限的 Microsoft Entra 帐户登录。 默认情况下,混合标识管理员帐户具有权限。
登录后,安装过程将完成,你可以关闭窗口。
此时,代理服务应自动启动,以便代理能够安全地将所需数据上传到云服务。
若要验证代理是否已安装,请在服务器上查找以下服务。 如果已完成配置,这些服务应已运行。 否则,它们会停止,直到完成配置。
- Microsoft Entra Connect 代理更新程序
- Microsoft Entra Connect Health 代理
在多个服务器上快速安装代理
创建 Microsoft Entra ID 中的用户帐户。 使用密码保护帐户。
使用门户在 Microsoft Entra Connect Health 中为此本地 Microsoft Entra 帐户分配所有者角色。 将角色分配给所有服务实例。
下载本地域控制器中的 .exe MSI 文件用于安装。
运行以下脚本。 将参数替换为新用户帐户及其密码。
AdHealthAddsAgentSetup.exe /quiet Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
完成后,可以通过完成以下一项或多项任务来移除本地帐户的访问权限:
- 删除 Microsoft Entra Connect Health 的本地帐户的角色分配。
- 轮替本地帐户的密码。
- 禁用 Microsoft Entra 本地帐户。
- 删除 Microsoft Entra 本地帐户。
使用 PowerShell 注册代理
安装相关的代理 setup.exe 文件后,可以使用以下 PowerShell 命令注册代理,具体取决于角色。 以管理员身份打开 PowerShell 并运行相关命令:
Register-MicrosoftEntraConnectHealthAgent
注意
若要对主权云进行注册,请使用以下命令行:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
这些命令接受 Credential 作为参数,可使用非交互式方式完成注册,或在运行服务器核心的计算机上完成注册。 请记住以下因素:
- 可以在作为参数传递的 PowerShell 变量中捕获
Credential。 - 可以提供有权注册代理,以及未启用多重身份验证的任何 Microsoft Entra 标识。
- 默认情况下,全局管理员具有注册代理的权限。 还可以允许特权较小的标识执行此步骤。 有关详细信息,请参阅 Azure RBAC。
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
将 Microsoft Entra Connect Health 代理配置为使用 HTTP 代理
可以将 Microsoft Entra Connect Health 代理配置为使用 HTTP 代理。
注意
- 不支持
Netsh WinHttp set ProxyServerAddress。 代理使用 System.Net 而不是 Windows HTTP 服务发出 Web 请求。 - 配置的 HTTP 代理地址用于传递加密的 HTTP 消息。
- 不支持经过身份验证的代理(使用 HTTPBasic)。
更改代理程序配置
若要将 Microsoft Entra Connect Health 代理配置为使用 HTTP 代理,你可以:
- 导入现有的代理设置。
- 手动指定代理地址。
- 清除现有的代理配置。
注意
若要更新代理设置,必须重启所有 Microsoft Entra Connect Health 代理服务。 要重启所有代理,请运行以下命令:
Restart-Service AzureADConnectHealthAgent*
导入现有的代理设置
可以导入 Internet Explorer HTTP 代理设置,以便 Microsoft Entra Connect Health 代理可以使用这些设置。 在运行 Health 代理的每台服务器上运行以下 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
可以导入 WinHTTP 代理设置,以便 Microsoft Entra Connect Health 代理可以使用它们。 在运行 Health 代理的每台服务器上运行以下 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
手动指定代理地址
可以手动指定代理服务器。 在运行 Health 代理的每台服务器上运行以下 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
下面是一个示例:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
在本示例中:
address设置可以是 DNS 可解析的服务器名称或 IPv4 地址。- 可以省略
port。 如果这样做,则将采用 443 作为默认端口。
清除现有的代理配置
可以运行以下命令清除现有的代理配置:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
读取当前的代理设置
可以运行以下命令读取当前代理设置:
Get-MicrosoftEntraConnectHealthProxySettings
测试与 Microsoft Entra Connect Health 服务的连接性
有时,Microsoft Entra Connect Health 代理会与 Microsoft Entra Connect Health 服务断开连接。 此连接丢失的原因可能包括网络问题、权限问题和各种其他问题。
如果代理无法将数据发送到 Microsoft Entra Connect Health 服务达 2 小时以上,门户中会出现以下警报:“Health 服务数据不是最新的”。
可以运行以下 PowerShell 命令,确认受影响的 Microsoft Entra Connect Health 代理是否能够将数据上传到 Microsoft Entra Connect Health 服务:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Role 参数目前可接受以下值:
ADFSSyncADDS
注意
若要使用连接工具,必须先完成代理注册。 如果无法完成代理注册,请确保满足 Microsoft Entra Connect Health 的所有要求。 默认情况下,在代理注册过程中测试连接。
后续步骤
请查看以下相关文章: