Partager via


Installer les agents Microsoft Entra Connect Health

Dans cet article, vous apprendrez à installer et à configurer les agents Microsoft Entra Connect Health.

Découvrez comment télécharger les agents.

Remarque

Microsoft Entra Connect Health n’est pas disponible dans le cloud souverain en Chine.

Spécifications

Le tableau suivant énumère les conditions requises pour l'utilisation de Microsoft Entra Connect Health :

Condition requise Description
Vous avez un abonnement Microsoft Entra ID P1 ou P2. Microsoft Entra Connect Health est une fonctionnalité de Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez S’inscrire à Microsoft Entra ID P1 ou P2.

Pour démarrer une période d’évaluation gratuite de 30 jours, consultez Démarrer l’essai gratuit.
Vous êtes administrateur général dans Microsoft Entra ID. Actuellement, seuls les comptes d’administrateur général peuvent installer et configurer des agents d’intégrité. Pour plus d’informations, consultez l’article Administration de votre annuaire Microsoft Entra.

En utilisant le contrôle d'accès basé sur les rôles Azure (Azure RBAC), vous pouvez autoriser d'autres utilisateurs de votre organisation à accéder à Microsoft Entra Connect Health. Pour plus d'informations, voir Azure RBAC pour Microsoft Entra Connect Health.

Important ! Utilisez un compte professionnel ou scolaire pour installer les agents. Vous ne pouvez pas utiliser un compte Microsoft pour installer les agents. Pour plus d’informations, consultez Inscription à Azure en tant qu’organisation.
L’agent Microsoft Entra Connect Health est installé sur chaque serveur cible. Les agents d’intégrité doivent être installés et configurés sur des serveurs ciblés pour pouvoir recevoir des données et fournir des capacités de surveillance et d’analytique.

Par exemple, pour obtenir des données de votre infrastructure de services de fédération Active Directory (AD FS), vous devez installer l’agent sur le serveur AD FS et le serveur proxy d’application web. De même, pour obtenir des données de votre infrastructure AD Domain Services locale, vous devez installer l’agent sur les contrôleurs de domaine.
Les points de terminaison de service Azure ont une connectivité sortante. Pendant l’installation et l’exécution, l’agent nécessite une connectivité vers les points de terminaison de service Microsoft Entra Connect Health. Si les pare-feux bloquent la connectivité sortante, ajoutez les points de terminaison de connectivité sortante à la liste d’autorisation.
La connectivité sortante est basée sur les adresses IP. Pour plus d’informations sur le filtrage de pare-feu basé sur des adresses IP, consultez Plages d’adresses IP Azure.
L’inspection TLS pour le trafic sortant est filtrée ou désactivée. L’étape d’inscription de l’agent ou les étapes de chargement de données peuvent échouer en cas d’inspection ou d’arrêt du protocole TLS pour le trafic sortant sur la couche réseau. Pour plus d’informations, consultez Configurer l’inspection TLS.
Les ports de pare-feu sur le serveur exécutent l’agent. L’agent nécessite que les ports de pare-feu suivants soient ouverts pour pouvoir communiquer avec les points de terminaison de service Microsoft Entra Connect Health :
– Port TCP 443
– Port TCP 5671

La version la plus récente de l’agent ne requiert pas le port 5671. Procédez à une mise à niveau vers la dernière version pour que seul le port 443 soit requis. Pour plus d’informations, consultez Ports et protocoles nécessaires à l’identité hybride.
Si la sécurité renforcée d’Internet Explorer est activée, autorisez les sites web spécifiés. Si la sécurité renforcée d’Internet Explorer est activée, autorisez les sites web suivants sur le serveur sur lequel vous installez l’agent :
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
– Le serveur de fédération de votre organisation approuvé par Microsoft Entra ID (par exemple, https://sts.contoso.com).

Pour plus d’informations, consultez Guide pratique pour configurer Internet Explorer. Si vous avez un proxy dans votre réseau, consultez la remarque qui figure à la fin de ce tableau.
La version 5.0 ou ultérieure de PowerShell est installée. Le serveur Windows 2016 comprend la version 5.0 de PowerShell.

Important

Windows Server Core ne prend pas en charge l’installation de l’agent Microsoft Entra Connect Health.

Remarque

Si vous disposez d’un environnement hautement verrouillé et restreint, vous devez ajouter plus d’URL que celles que le tableau énumère pour la sécurité renforcée d’Internet Explorer. Ajoutez également les URL qui sont répertoriées dans le tableau de la section suivante.

Important

Si vous avez installé Microsoft Entra Connect Sync à l’aide d’un compte avec le rôle d’administrateur hybride, l’agent est dans un état désactivé. Pour activer l’agent, vous devez le réinstaller à l’aide d’un compte administrateur général.

Nouvelles versions de l’agent et mise à niveau automatique

Si une nouvelle version de l’agent d’intégrité est publiée, tous les agents installés existants sont automatiquement mis à jour.

Connectivité sortante vers des points de terminaison de service Azure

Pendant l’installation et l’exécution, l’agent nécessite une connectivité vers les points de terminaison de service Microsoft Entra Connect Health. Si les pare-feu bloquent la connectivité sortante, assurez-vous que les URL du tableau suivant ne sont pas bloquées par défaut.

Ne désactivez pas la supervision ou l’inspection de sécurité de ces URL. Autorisez-les plutôt comme vous le feriez pour un autre trafic Internet.

Ces URL permettent la communication avec les points de terminaison de service Microsoft Entra Connect Health. Plus loin dans cet article, vous apprendrez à vérifier la connectivité sortante à l’aide de Test-MicrosoftEntraConnectHealthConnectivity.

Environnement de domaine Points de terminaison de service Azure nécessaires
Grand public - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net – Port : 5671 (si 5671 est bloqué, l’agent se rabat sur le port 443, mais nous recommandons d’utiliser le port 5671 est recommandée. Ce point de terminaison n’est pas obligatoire dans la dernière version de l’agent.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ce point de terminaison est utilisé uniquement à des fins de détection pendant l’inscription.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ce point de terminaison est utilisé uniquement à des fins de détection pendant l’inscription.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Télécharger les agents

Pour télécharger et installer l'agent Microsoft Entra Connect Health :

Installer l’agent pour AD FS

Si vous souhaitez obtenir des informations sur l’installation et le monitoring AD FS avec l’agent Microsoft Entra Connect Health, consultez Agents Microsoft Entra Connect Health pour AD FS.

Installer l’agent pour la synchronisation

L’agent Microsoft Entra Connect Health pour la synchronisation est installé automatiquement dans la dernière version de Microsoft Entra Connect. Pour utiliser Microsoft Entra Connect pour la synchronisation, téléchargez la dernière version de Microsoft Entra Connect et installez-la.

Pour vérifier que l’agent a été installé, recherchez les services suivants sur le serveur. Si vous avez terminé la configuration, les services doivent déjà être en cours d’exécution. Dans le cas contraire, ils sont arrêtés tant que la configuration n’est pas terminée.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Capture d’écran montrant les services Microsoft Entra Connect Health pour la synchronisation en cours d’exécution sur le serveur.

Remarque

N’oubliez pas que vous devez avoir Microsoft Entra ID P1 ou P2 pour utiliser Microsoft Entra Connect Health. Si vous ne disposez pas de Microsoft Entra ID P1 or P2, vous ne pouvez pas terminer la configuration dans le centre d’administration Microsoft Entra. Pour plus d’informations, consultez la configuration requise.

Enregistrer manuellement Microsoft Entra Connect Health pour la synchronisation

Si l’inscription de l’agent Microsoft Entra Connect Health pour la synchronisation échoue après l’installation correcte de Microsoft Entra Connect, vous pouvez utiliser une commande PowerShell pour inscrire l’agent manuellement.

Important

Utilisez cette commande PowerShell uniquement si l’inscription de l’agent échoue après l’installation de Microsoft Entra Connect.

Inscrivez manuellement l’agent Microsoft Entra Connect Health pour la synchronisation à l’aide de la commande PowerShell suivante. Les services Microsoft Entra Connect Health démarreront une fois l’agent correctement enregistré.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

La commande prend les paramètres qui suivent :

  • AttributeFiltering : $true (par défaut), si Microsoft Entra Connect ne synchronise pas le jeu d’attributs par défaut et a été personnalisé pour utiliser un jeu d’attributs filtré. Sinon, utilisez $false.
  • StagingMode : $false (par défaut), si le serveur Microsoft Entra Connect n’est pas en mode intermédiaire. Si le serveur est configuré pour être en mode intermédiaire, utilisez $true.

Quand vous êtes invité à vous authentifier, utilisez le même compte Administrateur général (par exemple, admin@domain.onmicrosoft.com) que celui que vous avez utilisé pour configurer Microsoft Entra.

Installer l’agent pour AD Domain Services

Pour démarrer l’installation de l’agent, double-cliquez sur le fichier .exe que vous avez téléchargé. Dans la première fenêtre, sélectionnez Installer.

Capture d’écran montrant la fenêtre d’installation de l’agent Microsoft Entra Connect Health pour AD DS.

Lorsque vous y êtes invité, connectez-vous à l’aide d’un compte Microsoft Entra disposant des autorisations nécessaires pour inscrire l’agent. Par défaut, le compte Administrateur d’identité hybride a des autorisations.

Capture d’écran montrant la fenêtre de connexion pour Microsoft Entra Connect Health AD DS.

Une fois connecté, le processus d’installation se termine et vous pouvez fermer la fenêtre.

Capture d’écran montrant le message de confirmation de l’installation de l’agent Microsoft Entra Connect Health AD DS.

À ce stade, les services de l’agent doivent démarrer automatiquement pour permettre à l’agent de charger en toute sécurité les données requises pour le service cloud.

Pour vérifier que l’agent a été installé, recherchez les services suivants sur le serveur. Si vous avez terminé la configuration, ils doivent déjà être en cours d’exécution. Dans le cas contraire, ils sont arrêtés tant que la configuration n’est pas terminée.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Capture d’écran montrant les services Microsoft Entra Connect Health AD DS.

Installer rapidement l’agent sur plusieurs serveurs

  1. Créez un compte utilisateur dans Microsoft Entra ID. Sécurisez le compte à l’aide d’un mot de passe.

  2. Attribuez le rôle Propriétaire pour ce compte de Microsoft Entra local dans Microsoft Entra Connect Health à l’aide du portail. Affectez le rôle à toutes les instances de services.

  3. Téléchargez le fichier MSI .exe dans le contrôleur de domaine local pour l’installation.

  4. Exécutez le script suivant. Remplacez les paramètres par votre nouveau compte d’utilisateur et son mot de passe.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Lorsque vous avez terminé, vous pouvez supprimer l’accès du compte local en effectuant une ou plusieurs des tâches suivantes :

  • Supprimer l’attribution de rôle au compte local pour Microsoft Entra Connect Health.
  • retournez le mot de passe du compte local ;
  • Désactivez le compte local Microsoft Entra.
  • Supprimez le compte local Microsoft Entra.

Inscrire l’agent à l’aide de PowerShell

Après avoir installé le fichier setup.exe approprié de l’agent approprié, vous pouvez inscrire l’agent à l’aide des commandes PowerShell suivantes, en fonction du rôle. Ouvrez PowerShell en tant qu’administrateur et exécutez la commande appropriée :

Register-MicrosoftEntraConnectHealthAgent

Notes

Pour vous inscrire auprès de clouds souverains, utilisez les lignes de commande suivantes :

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Ces commandes acceptent Credential en tant que paramètre pour terminer l’inscription de manière non interactive ou pour terminer l’inscription sur un ordinateur qui exécute Server Core. Gardez à l’esprit les points suivants :

  • Vous pouvez capturer Credential dans une variable PowerShell qui est transmise en tant que paramètre.
  • Vous pouvez fournir n’importe quelle identité Microsoft Entra qui dispose des autorisations nécessaires pour inscrire les agents et pour laquelle l’authentification multifacteur n’est pas activée.
  • Par défaut, les administrateurs généraux sont autorisés à inscrire les agents. Vous pouvez également autoriser des identités moins privilégiées à effectuer cette étape. Pour plus d’informations, consultez Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Configurer les agents Microsoft Entra Connect Health pour qu'ils utilisent un proxy HTTP

Vous pouvez configurer des agents Microsoft Entra Connect Health pour utiliser un proxy HTTP.

Remarque

  • Netsh WinHttp set ProxyServerAddress n’est pas pris en charge. L’agent utilise System.Net au lieu des services HTTP Windows pour effectuer des requêtes web.
  • L’adresse de proxy HTTP configurée sert à transmettre des messages HTTPS chiffrés.
  • Les serveurs proxy authentifiés (à l’aide de HTTPBasic) ne sont pas pris en charge.

Modifier la configuration de l’agent proxy

Pour configurer l’agent Microsoft Entra Connect Health pour qu’il utilise un proxy HTTP, vous pouvez :

  • Importer les paramètres de proxy existants.
  • Spécifier les adresses du proxy manuellement.
  • Effacer la configuration de proxy existante.

Remarque

Pour mettre à jour les paramètres de proxy, vous devez redémarrer tous les services de l’agent Microsoft Entra Connect Health. Pour redémarrer tous les agents, exécutez la commande suivante :

Restart-Service AzureADConnectHealthAgent*

Importer les paramètres de proxy existants

Vous pouvez importer les paramètres du proxy HTTP d’Internet Explorer afin que les agents Microsoft Entra Connect Health puissent les utiliser. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Vous pouvez importer les paramètres du proxy WinHTTP afin que les agents Microsoft Entra Connect Health puissent les utiliser. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Spécifier les adresses du proxy manuellement

Vous pouvez spécifier manuellement un serveur proxy. Sur chacun des serveurs qui exécutent l’agent d’intégrité, exécutez la commande PowerShell suivante :

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Voici un exemple :

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Dans cet exemple :

  • Le paramètre address peut être un nom de serveur DNS pouvant être résolu ou une adresse IPv4.
  • Vous pouvez omettre port. Si vous le faites, le port 443 est le port par défaut.

Effacer la configuration de proxy existante

Vous pouvez effacer la configuration du proxy en exécutant la commande suivante :

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Lecture des paramètres de proxy actuels

Vous pouvez lire les paramètres de proxy actuels en exécutant la commande suivante :

Get-MicrosoftEntraConnectHealthProxySettings

Tester la connectivité au service Microsoft Entra Connect Health

Parfois, l’agent Azure AD Connect Health perd la connectivité au service Microsoft Entra Connect Health. Les causes de cette perte de connectivité peuvent inclure des problèmes de réseau, des problèmes d’autorisation et divers autres problèmes.

Si l’agent ne peut pas envoyer de données au service Microsoft Entra Connect Health pendant plus de deux heures, l’alerte suivante s’affiche dans le portail : Les données du service de contrôle d’intégrité ne sont pas à jour.

Vous pouvez savoir si l’agent Microsoft Entra Connect Health concerné peut charger des données vers le service Microsoft Entra Connect Health en exécutant la commande PowerShell suivante :

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Le paramètre Role peut avoir les valeurs suivantes :

  • ADFS
  • Sync
  • ADDS

Notes

Pour utiliser l’outil de connectivité, vous devez d’abord inscrire l’agent. Si vous ne pouvez pas terminer l’inscription de l’agent, vérifiez que vous avez rempli toutes les conditions requises pour Microsoft Entra Connect Health. La connectivité est testée par défaut lors de l’inscription de l’agent.

Étapes suivantes

Consultez les articles connexes suivants :