安裝 Microsoft Entra 連線 Health 代理程式
在本文中,您將瞭解如何安裝和設定 Microsoft Entra 連線 Health 代理程式。
瞭解如何 下載代理程式。
注意
中國主權雲端不提供 Microsoft Entra 連線 Health。
需求
下表列出使用 Microsoft Entra 連線 Health 的需求:
| 需求 | 描述 |
|---|---|
| 您有 Microsoft Entra ID P1 或 P2 訂用帳戶。 | Microsoft Entra 連線 Health 是 Microsoft Entra ID P1 或 P2 的功能。 如需詳細資訊,請參閱 註冊 Microsoft Entra ID P1 或 P2。 若要開始免費試用 30 天,請參閱 開始試用。 |
| 您是 Microsoft Entra ID 中的全域管理員。 | 目前,只有 Global 管理員 istrator 帳戶可以安裝及設定健全狀況代理程式。 如需詳細資訊,請參閱 管理員 註冊您的 Microsoft Entra 目錄。 藉由使用 Azure 角色型存取控制 (Azure RBAC),您可以允許組織中的其他使用者存取 Microsoft Entra 連線 Health。 如需詳細資訊,請參閱適用於 Microsoft Entra 連線 Health 的 Azure RBAC。 重要事項:使用公司或學校帳戶來安裝代理程式。 您無法使用 Microsoft 帳戶來安裝代理程式。 如需詳細資訊,請參閱 以組織身分註冊 Azure。 |
| Microsoft Entra Connect Health 代理程式已安裝在每個目標伺服器上。 | 健康情況代理程式必須在目標伺服器上安裝及設定,以便接收數據並提供監視和分析功能。 例如,若要從 Active Directory 同盟服務 (AD FS) 基礎結構取得數據,您必須在 AD FS 伺服器和 Web 應用程式 Proxy 伺服器上安裝代理程式。 同樣地,若要從內部部署 AD Domain Services 基礎結構取得數據,您必須在域控制器上安裝代理程式。 |
| Azure 服務端點有輸出連線。 | 在安裝和運行時間期間,代理程式需要連線到 Microsoft Entra 連線 Health 服務端點。 如果防火牆封鎖輸出連線,請將 輸出連線端點 新增至允許清單。 |
| 輸出連線是以 IP 位址為基礎。 | 如需以IP位址為基礎的防火牆篩選資訊,請參閱 Azure IP 範圍。 |
| 傳出流量的 TLS 檢查已經過篩選或已停用。 | 如果網路層有 TLS 檢查或終止輸出流量,代理程式註冊步驟或數據上傳作業可能會失敗。 如需詳細資訊,請參閱 設定 TLS 檢查。 |
| 伺服器上的防火牆連接埠正執行代理程式。 | 代理程式需要開啟下列防火牆埠,才能與 Microsoft Entra 連線 Health 服務端點通訊: - TCP 連接埠 443 - TCP 連接埠 5671 最新版本的代理程式不需要連接埠 5671。 請升級至最新版本,如此一來便僅需要連接埠 443。 如需詳細資訊,請參閱 混合式身分識別所需的埠和通訊協定。 |
| 如果已啟用 Internet Explorer 增強式安全性,請允許指定的網站。 | 如果已啟用 Internet Explorer 增強式安全性,請在安裝代理程式的伺服器上允許下列網站: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - Microsoft Entra ID 所信任組織的同盟伺服器(例如 , https://sts.contoso.com。 如需詳細資訊,請參閱 如何設定 Internet Explorer。 如果您的網路中有 Proxy,請參閱此表格結尾出現的附註。 |
| 已安裝PowerShell 5.0版或更新版本。 | Windows Server 2016 包含 PowerShell 5.0 版。 |
重要
Windows Server Core 不支援安裝 Microsoft Entra 連線 Health 代理程式。
注意
如果您有高度鎖定和受限制的環境,則必須新增比 Internet Explorer 增強式安全性資料表清單的 URL 更多 URL。 同時新增下一節中表格所列的 URL。
新版本的代理程式和自動升級
如果發行新版本的健康情況代理程式,則任何現有的已安裝代理程式都會自動更新。
對 Azure 服務端點的輸出連線
在安裝和運行時間期間,代理程式需要連線到 Microsoft Entra 連線 Health 服務端點。 如果防火牆封鎖輸出連線,請確定下表中的URL預設不會遭到封鎖。
請勿停用這些 URL 的安全性監視或檢查。 相反地,請允許它們,因為您可以允許其他因特網流量。
這些 URL 允許與 Microsoft Entra 連線 Health 服務端點通訊。 本文稍後,您將瞭解如何使用 Test-MicrosoftEntraConnectHealthConnectivity來檢查輸出連線能力。
| 網域環境 | 必要的 Azure 服務端點 |
|---|---|
| 一般公眾 | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - 埠:5671(如果封鎖 5671,代理程式會回復為 443,但建議您使用埠 5671。最新版本的代理程式不需要此端點。- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點僅用於註冊期間的探索用途。- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點僅用於註冊期間的探索用途。- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
下載代理程式
若要下載並安裝 Microsoft Entra 連線 Health 代理程式:
- 請確定您符合安裝 Microsoft Entra 連線 Health 的需求。
- 開始使用適用於 AD FS 的 Microsoft Entra 連線 Health:
- 下載適用於AD FS的 Microsoft Entra 連線 Health 代理程式。
- 請參閱安裝指示。
- 開始使用 Microsoft Entra 連線 Health 進行同步處理:
- 下載並安裝最新版本的 Microsoft Entra 連線。 同步處理的健康情況代理程式會安裝為 Microsoft Entra 連線 安裝的一部分(1.0.9125.0 版或更新版本)。
- 開始使用適用於 AD Domain Services 的 Microsoft Entra 連線 Health:
- 下載適用於 AD Domain Services 的 Microsoft Entra 連線 Health 代理程式。
- 請參閱安裝指示。
安裝AD FS的代理程式
如需使用 Microsoft Entra 連線 Health 代理程式安裝及監視 AD FS 的資訊,請參閱適用於 AD FS 的 Microsoft Entra 連線 Health 代理程式。
安裝代理程式以進行同步處理
Microsoft Entra 連線 Health 代理程式會自動安裝在最新版的 Microsoft Entra 連線 中。 若要使用 Microsoft Entra 連線 進行同步處理,請下載最新版本的 Microsoft Entra 連線 並加以安裝。
若要確認代理程式已安裝,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra 連線 Agent Updater
- Microsoft Entra 連線 Health Agent
注意
請記住,您必須擁有 Microsoft Entra ID P1 或 P2,才能使用 Microsoft Entra 連線 Health。 如果您沒有 Microsoft Entra ID P1 或 P2,則無法在 Microsoft Entra 系統管理中心完成設定。 如需詳細資訊,請參閱 需求。
手動註冊 Microsoft Entra 連線 Health 以進行同步處理
如果您成功安裝 Microsoft Entra 連線 之後,同步代理程式註冊的 Microsoft Entra 連線 Health 失敗,您可以使用 PowerShell 命令手動註冊代理程式。
重要
只有在安裝 Microsoft Entra 連線 之後代理程式註冊失敗時,才使用此 PowerShell 命令。
使用下列 PowerShell 命令,手動註冊 Microsoft Entra 連線 Health 代理程式以進行同步處理。 成功註冊代理程序之後,Microsoft Entra 連線 Health 服務將會啟動。
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
此指令會採用下列參數:
AttributeFiltering:$true(預設值)如果 Microsoft Entra 連線 未同步處理預設屬性集,且已自定義為使用篩選的屬性集。 否則,請使用$false。StagingMode:如果 Microsoft Entra 連線 伺服器不在預備模式中,則為 :$false(預設值)。 如果伺服器設定為處於預備模式,請使用$true。
當系統提示您進行驗證時,請使用您用來設定 Microsoft Entra 連線 的相同全域 管理員 istrator 帳戶(例如admin@domain.onmicrosoft.com)。
安裝 AD Domain Services 的代理程式
若要啟動代理程式安裝,請按兩下您所下載的 .exe 檔案。 在第一個視窗中,選取 [安裝]。
出現提示時,請使用具有註冊代理程序許可權的 Microsoft Entra 帳戶登入。 根據預設,混合式身分識別 管理員 istrator 帳戶具有許可權。
登入之後,安裝程式就會完成,而且您可以關閉視窗。
此時,代理程式服務應該會開始自動允許代理程式安全地將所需的數據上傳至雲端服務。
若要驗證已安裝代理程式,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra 連線 Agent Updater
- Microsoft Entra 連線 Health Agent
在多部伺服器上快速安裝代理程式
在 Microsoft Entra ID 中建立用戶帳戶。 使用密碼保護帳戶。
使用入口網站,在 Microsoft Entra 連線 Health 中指派此本機 Microsoft Entra 帳戶的擁有者角色。 將角色指派給所有服務實例。
下載本機域控制器中的 .exe MSI 檔案以進行安裝。
執行下列指令碼。 將參數取代為您的新用戶帳戶及其密碼。
AdHealthAddsAgentSetup.exe /quiet Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
當您完成時,您可以完成下列一或多項工作,以移除本機帳戶的存取權:
- 拿掉 Microsoft Entra 連線 Health 本機帳戶的角色指派。
- 輪替本機帳戶的密碼。
- 停用 Microsoft Entra 本機帳戶。
- 刪除 Microsoft Entra 本機帳戶。
使用 PowerShell 註冊代理程式
安裝相關的代理 程式 setup.exe檔案之後,您可以使用下列 PowerShell 命令來註冊代理程式,視角色而定。 以系統管理員身分開啟 PowerShell,然後執行相關的命令:
Register-MicrosoftEntraConnectHealthAgent
注意
若要針對主權雲端進行註冊,請使用下列命令行:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
這些命令接受 Credential 做為參數,以非互動方式完成註冊,或是在執行 Server Core 的計算機上完成註冊。 請記住這些因素:
- 您可以在傳遞為參數的 PowerShell 變數中擷取
Credential。 - 您可以提供任何具有註冊代理程序許可權且未啟用多重要素驗證的 Microsoft Entra 身分識別。
- 根據預設,全域管理員具有註冊代理程序的許可權。 您也可以允許較低許可權的身分識別執行此步驟。 如需詳細資訊,請參閱 Azure RBAC。
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
設定 Microsoft Entra 連線 Health 代理程式以使用 HTTP Proxy
您可以將 Microsoft Entra 連線 Health 代理程式設定為使用 HTTP Proxy。
注意
- 不支援
Netsh WinHttp set ProxyServerAddress。 代理程式會使用 System.Net,而不是 Windows HTTP 服務來提出 Web 要求。 - 設定的 HTTP Proxy 位址可用來傳遞加密的 HTTPS 訊息。
- 不支援已驗證的 Proxy(使用 HTTPBasic)。
變更代理程式 Proxy 設定
若要將 Microsoft Entra 連線 Health 代理程式設定為使用 HTTP Proxy,您可以:
- 匯入現有的 Proxy 設定。
- 手動指定 Proxy 位址。
- 清除現有的 Proxy 組態。
注意
若要更新 Proxy 設定,您必須重新啟動所有 Microsoft Entra 連線 Health 代理程式服務。 若要重新啟動所有代理程式,請執行下列命令:
Restart-Service AzureADConnectHealthAgent*
匯入現有的 Proxy 設定
您可以匯入 Internet Explorer HTTP Proxy 設定,讓 Microsoft Entra 連線 Health 代理程式可以使用設定。 在執行健康情況代理程式的每個伺服器上,執行下列 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
您可以匯入 WinHTTP Proxy 設定,讓 Microsoft Entra 連線 Health 代理程式可以使用它們。 在執行健康情況代理程式的每個伺服器上,執行下列 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
手動指定 Proxy 位址
您可以手動指定 Proxy 伺服器。 在執行健康情況代理程式的每個伺服器上,執行下列 PowerShell 命令:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
以下是範例:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
在此範例中:
- 此
address設定可以是 DNS 可解析的伺服器名稱或 IPv4 位址。 - 您可以省略
port。 如果您這樣做,443 是預設埠。
清除現有的 Proxy 組態
您可以執行下列命令來清除現有的 Proxy 組態:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
讀取目前的 Proxy 設定
您可以執行下列命令來讀取目前的 Proxy 設定:
Get-MicrosoftEntraConnectHealthProxySettings
測試 Microsoft Entra 連線 Health 服務的連線能力
有時候,Microsoft Entra 連線 Health 代理程式會失去與 Microsoft Entra 連線 Health 服務的連線。 此連線中斷的原因可能包括網路問題、許可權問題,以及各種其他問題。
如果代理程式無法將數據傳送至 Microsoft Entra 連線 Health 服務超過兩小時,則入口網站中會出現下列警示:健全狀況服務 數據不是最新的。
您可以執行下列 PowerShell 命令,找出受影響的 Microsoft Entra 連線 Health 代理程式是否可以將數據上傳至 Microsoft Entra 連線 Health 服務:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
參數 Role 目前採用下列值:
ADFSSyncADDS
注意
若要使用連線工具,您必須先註冊代理程式。 如果您無法完成代理程序註冊,請確定您符合 Microsoft Entra 連線 Health 的所有需求。 代理程式註冊期間預設會測試 連線 性。
下一步
請參閱下列相關文章: