Sdílet prostřednictvím


Instalace agentů služby Microsoft Entra Connect Health

V tomto článku se dozvíte, jak nainstalovat a nakonfigurovat agenty služby Microsoft Entra Connect Health.

Zjistěte, jak stáhnout agenty.

Poznámka:

Microsoft Entra Connect Health není k dispozici v suverénním cloudu Číny.

Požadavky

Následující tabulka uvádí požadavky na používání služby Microsoft Entra Connect Health:

Požadavek Popis
Máte předplatné Microsoft Entra ID P1 nebo P2. Microsoft Entra Connect Health je funkce Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Registrace k Microsoft Entra ID P1 nebo P2.

Pokud chcete začít používat bezplatnou 30denní zkušební verzi, přečtěte si článek o tom, jak začít se zkušební verzí.
Jste globálním správcem v Microsoft Entra ID. V současné době můžou instalovat a konfigurovat agenty stavu jenom účty globálního správce. Další informace naleznete v tématu Správa adresáře Microsoft Entra.

Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete ostatním uživatelům ve vaší organizaci povolit přístup ke službě Microsoft Entra Connect Health. Další informace najdete v tématu Azure RBAC pro Microsoft Entra Connect Health.

Důležité: K instalaci agentů použijte pracovní nebo školní účet. K instalaci agentů nemůžete použít účet Microsoft. Další informace najdete v tématu Registrace do Azure jako organizace.
Agent Microsoft Entra Connect Health se instaluje na každý cílový server. Agenti stavu musí být nainstalovaní a nakonfigurovaní na cílových serverech, aby mohli přijímat data a poskytovat funkce monitorování a analýzy.

Pokud například chcete získat data z infrastruktury Active Directory Federation Services (AD FS) (AD FS), musíte agenta nainstalovat na server SLUŽBY AD FS a na server webového proxy aplikací. Podobně platí, že pokud chcete získat data z místní infrastruktury služby AD Domain Services, musíte agenta nainstalovat na řadiče domény.
Koncové body služby Azure mají odchozí připojení. Během instalace a modulu runtime vyžaduje agent připojení ke koncovým bodům služby Microsoft Entra Connect Health. Pokud brány firewall blokují odchozí připojení, přidejte koncové body odchozího připojení do seznamu povolených .
Odchozí připojení je založené na IP adresách. Informace o filtrování brány firewall na základě IP adres najdete v tématu Rozsahy IP adres Azure.
Kontrola protokolu TLS pro odchozí provoz se filtruje nebo zakáže. Pokud v síťové vrstvě dojde k kontrole nebo ukončení odchozího provozu protokolu TLS, může selhat krok registrace agenta nebo operace nahrávání dat. Další informace najdete v tématu Nastavení kontroly protokolu TLS.
Na serveru jsou spuštěné porty brány firewall. Agent vyžaduje otevření následujících portů brány firewall, aby mohl komunikovat s koncovými body služby Microsoft Entra Connect Health:
– Port TCP 443
– Port TCP 5671

Nejnovější verze agenta nevyžaduje port 5671. Upgradujte na nejnovější verzi, aby se vyžadoval pouze port 443. Další informace najdete v tématu Porty a protokoly vyžadované hybridní identitou.
Pokud je povolené rozšířené zabezpečení Internet Exploreru, povolte zadané weby. Pokud je povolené rozšířené zabezpečení Internet Exploreru, povolte na serveru, na kterém agenta instalujete, následující weby:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
– Federační server vaší organizace, který je důvěryhodný pro Microsoft Entra ID (například https://sts.contoso.com).

Další informace naleznete v tématu Postup konfigurace aplikace Internet Explorer. Pokud máte v síti proxy server, podívejte se na poznámku, která se zobrazí na konci této tabulky.
Je nainstalovaný PowerShell verze 5.0 nebo novější. Windows Server 2016 obsahuje PowerShell verze 5.0.

Důležité

Windows Server Core nepodporuje instalaci agenta Microsoft Entra Connect Health.

Poznámka:

Pokud máte vysoce uzamčené a omezené prostředí, musíte přidat více adres URL než adresy URL seznamů tabulek pro rozšířené zabezpečení Internet Exploreru. Přidejte také adresy URL uvedené v tabulce v další části.

Důležité

Pokud jste nainstalovali Microsoft Entra Connect Sync pomocí účtu s rolí hybridního správce, agent bude v zakázaném stavu. Pokud chcete agenta aktivovat, budete ho muset znovu nainstalovat pomocí účtu, který je globálním správcem.

Nové verze agenta a automatický upgrade

Pokud je vydána nová verze agenta stavu, všechny existující nainstalované agenty se automaticky aktualizují.

Odchozí připojení ke koncovým bodům služby Azure

Během instalace a modulu runtime potřebuje agent připojení ke koncovým bodům služby Microsoft Entra Connect Health. Pokud brány firewall blokují odchozí připojení, ujistěte se, že adresy URL v následující tabulce nejsou ve výchozím nastavení blokované.

Nezakazujte monitorování zabezpečení ani kontrolu těchto adres URL. Místo toho je povolte stejně, jako byste povolili jiný internetový provoz.

Tyto adresy URL umožňují komunikaci s koncovými body služby Microsoft Entra Connect Health. Dále v tomto článku se dozvíte, jak pomocí Test-MicrosoftEntraConnectHealthConnectivitynástroje .

Doménové prostředí Požadované koncové body služby Azure
Obecná veřejnost - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net – Port: 5671 (pokud je blokovaný 5671, agent se vrátí zpět na 443, ale doporučujeme použít port 5671. Tento koncový bod se nevyžaduje v nejnovější verzi agenta.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Tento koncový bod se používá pouze pro účely zjišťování během registrace.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Tento koncový bod se používá pouze pro účely zjišťování během registrace.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Stažení agentů

Stažení a instalace agenta Microsoft Entra Connect Health:

Instalace agenta pro službu AD FS

Informace o instalaci a monitorování služby AD FS pomocí agenta služby Microsoft Entra Connect Health najdete v tématu Agenti služby Microsoft Entra Connect Health pro službu AD FS.

Instalace agenta pro synchronizaci

Agent Služby Microsoft Entra Connect Health pro synchronizaci se instaluje automaticky v nejnovější verzi microsoft Entra Connect. Pokud chcete používat Microsoft Entra Connect pro synchronizaci, stáhněte si nejnovější verzi microsoft Entra Connect a nainstalujte ji.

Pokud chcete ověřit, že je agent nainstalovaný, vyhledejte na serveru následující služby. Pokud jste konfiguraci dokončili, měly by už být spuštěné služby. V opačném případě se služby zastaví, dokud se konfigurace neskončí.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Snímek obrazovky znázorňující spuštěnou službu Microsoft Entra Connect Health pro synchronizační služby na serveru

Poznámka:

Nezapomeňte, že k používání služby Microsoft Entra Connect Health musíte mít Microsoft Entra ID P1 nebo P2. Pokud nemáte Microsoft Entra ID P1 nebo P2, nemůžete konfiguraci dokončit v Centru pro správu Microsoft Entra. Další informace najdete v požadavcích.

Ruční registrace služby Microsoft Entra Connect Health pro synchronizaci

Pokud se po úspěšné instalaci nástroje Microsoft Entra Connect Connect Health pro registraci agenta synchronizace nezdaří, můžete agenta zaregistrovat ručně pomocí příkazu PowerShellu.

Důležité

Tento příkaz PowerShellu použijte pouze v případě, že registrace agenta selže po instalaci nástroje Microsoft Entra Connect.

Pomocí následujícího příkazu PowerShellu ručně zaregistrujte agenta služby Microsoft Entra Connect Health pro synchronizaci. Služby Microsoft Entra Connect Health se spustí po úspěšném zaregistrování agenta.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Příkaz přijímá následující parametry:

  • AttributeFiltering: $true (výchozí) pokud Microsoft Entra Connect nesynchronizuje výchozí sadu atributů a byl upraven tak, aby používal filtrovanou sadu atributů. V opačném případě použijte $false.
  • StagingMode: $false (výchozí) pokud server Microsoft Entra Connect není v pracovním režimu. Pokud je server nakonfigurovaný tak, aby byl v pracovním režimu, použijte $true.

Po zobrazení výzvy k ověření použijte stejný účet globálního správce (například admin@domain.onmicrosoft.com), který jste použili ke konfiguraci služby Microsoft Entra Connect.

Instalace agenta pro službu AD Domain Services

Chcete-li spustit instalaci agenta, poklikejte na soubor .exe , který jste stáhli. V prvním okně vyberte Nainstalovat.

Snímek obrazovky znázorňující agenta služby Microsoft Entra Connect Health pro instalační okno služby AD DS

Po zobrazení výzvy se přihlaste pomocí účtu Microsoft Entra, který má oprávnění k registraci agenta. Ve výchozím nastavení má účet Správce hybridní identity oprávnění.

Snímek obrazovky znázorňující přihlašovací okno služby Ad DS služby Microsoft Entra Connect Health

Po přihlášení se proces instalace dokončí a okno můžete zavřít.

Snímek obrazovky s potvrzovací zprávou pro instalaci agenta AD DS služby Microsoft Entra Connect Health

V tomto okamžiku by se měly spustit služby agenta, aby agent mohl bezpečně nahrát požadovaná data do cloudové služby.

Pokud chcete ověřit, že byl agent nainstalovaný, vyhledejte na serveru následující služby. Pokud jste konfiguraci dokončili, měly by již být spuštěné. Jinak se zastaví, dokud se konfigurace nedokončí.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Snímek obrazovky znázorňující služby Ad DS služby Microsoft Entra Connect Health

Rychlá instalace agenta na více serverů

  1. Vytvořte uživatelský účet v Microsoft Entra ID. Zabezpečte účet pomocí hesla.

  2. Přiřaďte roli Vlastník pro tento místní účet Microsoft Entra ve službě Microsoft Entra Connect Health pomocí portálu. Přiřaďte roli všem instancím služby.

  3. Stáhněte soubor .EXE MSI v místním řadiči domény pro instalaci.

  4. Spusťte následující skript. Parametry nahraďte novým uživatelským účtem a jeho heslem.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Po dokončení můžete přístup k místnímu účtu odebrat dokončením jedné nebo několika následujících úloh:

  • Odeberte přiřazení role pro místní účet služby Microsoft Entra Connect Health.
  • Obměňte heslo pro místní účet.
  • Zakažte místní účet Microsoft Entra.
  • Odstraňte místní účet Microsoft Entra.

Registrace agenta pomocí PowerShellu

Po instalaci příslušného souboru agenta setup.exe můžete agenta zaregistrovat pomocí následujících příkazů PowerShellu v závislosti na roli. Otevřete PowerShell jako správce a spusťte příslušný příkaz:

Register-MicrosoftEntraConnectHealthAgent

Poznámka:

Pokud se chcete zaregistrovat v suverénních cloudech, použijte následující příkazové řádky:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Tyto příkazy přijímají Credential jako parametr k dokončení registrace neinteraktivně nebo k dokončení registrace v počítači, na kterém běží jádro serveru. Mějte na paměti tyto faktory:

  • Můžete zachytit Credential proměnnou PowerShellu, která se předává jako parametr.
  • Můžete zadat jakoukoli identitu Microsoft Entra, která má oprávnění k registraci agentů a která nemá povolené vícefaktorové ověřování.
  • Globální správci mají ve výchozím nastavení oprávnění k registraci agentů. Tento krok můžete také povolit méně privilegovaným identitám. Další informace najdete v tématu Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Konfigurace agentů služby Microsoft Entra Connect Health pro použití proxy serveru HTTP

Agenty služby Microsoft Entra Connect Health můžete nakonfigurovat tak, aby fungovaly s proxy serverem HTTP.

Poznámka:

  • Netsh WinHttp set ProxyServerAddress není podporováno. Agent používá k provádění webových požadavků System.Net místo služeb HTTP systému Windows.
  • Nakonfigurovaná adresa proxy serveru HTTP se používá k předávání šifrovaných zpráv HTTPS.
  • Ověřené proxy servery (pomocí HTTPBasic) se nepodporují.

Změna konfigurace proxy agenta

Pokud chcete nakonfigurovat agenta Služby Microsoft Entra Connect Health tak, aby používal proxy server HTTP, můžete:

  • Import existujících nastavení proxy serveru
  • Zadejte adresy proxy ručně.
  • Vymažte existující konfiguraci proxy serveru.

Poznámka:

Chcete-li aktualizovat nastavení proxy serveru, musíte restartovat všechny služby agenta Microsoft Entra Connect Health. Pokud chcete restartovat všechny agenty, spusťte následující příkaz:

Restart-Service AzureADConnectHealthAgent*

Import existujících nastavení proxy serveru

Nastavení proxy serveru HTTP aplikace Internet Explorer můžete importovat tak, aby agenti služby Microsoft Entra Connect Health mohli tato nastavení používat. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Nastavení proxy serveru WinHTTP můžete importovat tak, aby je mohli používat agenti služby Microsoft Entra Connect Health. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ruční zadání proxy adres

Proxy server můžete zadat ručně. Na všech serverech, na kterých běží agent stavu, spusťte následující příkaz PowerShellu:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Tady je příklad:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

V tomto příkladu:

  • Nastavení address může být název serveru dns přeložitelný nebo adresa IPv4.
  • Můžete vynechat port. Pokud ano, 443 je výchozím portem.

Vymazání stávající konfigurace proxy serveru

Existující konfiguraci proxy serveru můžete vymazat spuštěním následujícího příkazu:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Čtení aktuálního nastavení proxy serveru

Aktuální nastavení proxy serveru můžete přečíst spuštěním následujícího příkazu:

Get-MicrosoftEntraConnectHealthProxySettings

Testování připojení ke službě Microsoft Entra Connect Health

Někdy agent Microsoft Entra Connect Health ztratí připojení ke službě Microsoft Entra Connect Health. Příčiny této ztráty připojení můžou zahrnovat problémy se sítí, problémy s oprávněními a různé další problémy.

Pokud agent nemůže odesílat data do služby Microsoft Entra Connect Health po dobu delší než dvě hodiny, zobrazí se na portálu následující výstraha: Data služby Health Service nejsou aktuální.

Spuštěním následujícího příkazu PowerShellu zjistíte, jestli ovlivněný agent služby Microsoft Entra Connect Health může nahrát data do služby Microsoft Entra Connect Health:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parametr Role aktuálně přebírá následující hodnoty:

  • ADFS
  • Sync
  • ADDS

Poznámka:

Pokud chcete použít nástroj pro připojení, musíte nejprve zaregistrovat agenta. Pokud registraci agenta nemůžete dokončit, ujistěte se, že splňujete všechny požadavky služby Microsoft Entra Connect Health. Během registrace agenta se ve výchozím nastavení testuje připojení.

Další kroky

Projděte si následující související články: