Udostępnij za pośrednictwem


Instalowanie agentów programu Microsoft Entra Connect Health

Z tego artykułu dowiesz się, jak zainstalować i skonfigurować agentów programu Microsoft Entra Connect Health.

Dowiedz się, jak pobrać agentów.

Uwaga

Program Microsoft Entra Connect Health nie jest dostępny w suwerennej chmurze w Chinach.

Wymagania

W poniższej tabeli wymieniono wymagania dotyczące korzystania z programu Microsoft Entra Connect Health:

Wymaganie opis
Masz subskrypcję microsoft Entra ID P1 lub P2. Microsoft Entra Connect Health to funkcja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Rejestrowanie się w usłudze Microsoft Entra ID P1 lub P2.

Aby skorzystać z bezpłatnej 30-dniowej wersji próbnej, zobacz Włączanie wersji próbnej.
Jesteś administratorem globalnym w usłudze Microsoft Entra ID. Obecnie tylko konta administratora globalnego mogą instalować i konfigurować agentów kondycji. Aby uzyskać więcej informacji, zobacz Administrowanie katalogem Microsoft Entra.

Korzystając z kontroli dostępu opartej na rolach (RBAC) platformy Azure, możesz zezwolić innym użytkownikom w organizacji na dostęp do programu Microsoft Entra Connect Health. Aby uzyskać więcej informacji, zobacz Kontrola dostępu na podstawie ról platformy Azure dla programu Microsoft Entra Connect Health.

Ważne: użyj konta służbowego, aby zainstalować agentów. Nie można użyć konta Microsoft do zainstalowania agentów. Aby uzyskać więcej informacji, zobacz Tworzenie konta na platformie Azure jako organizacja.
Agent programu Microsoft Entra Connect Health jest instalowany na każdym serwerze docelowym. Agenci kondycji muszą być zainstalowani i skonfigurowani na serwerach docelowych, aby mogli odbierać dane i zapewniać możliwości monitorowania i analizy.

Aby na przykład pobrać dane z infrastruktury usług Active Directory Federation Services (AD FS), należy zainstalować agenta na serwerze usług AD FS i na serwerze serwer proxy aplikacji sieci Web. Podobnie, aby pobrać dane z lokalnej infrastruktury usług AD Domain Services, należy zainstalować agenta na kontrolerach domeny.
Punkty końcowe usługi platformy Azure mają łączność wychodzącą. Podczas instalacji i środowiska uruchomieniowego agent wymaga łączności z punktami końcowymi usługi Microsoft Entra Connect Health. Jeśli zapory blokują łączność wychodzącą, dodaj punkty końcowe łączności wychodzącej do listy dozwolonych .
Łączność wychodząca jest oparta na adresach IP. Aby uzyskać informacje na temat filtrowania zapory na podstawie adresów IP, zobacz Zakresy adresów IP platformy Azure.
Inspekcja protokołu TLS dla ruchu wychodzącego jest filtrowana lub wyłączona. Krok rejestracji agenta lub operacje przekazywania danych mogą zakończyć się niepowodzeniem, jeśli w warstwie sieciowej występuje inspekcja protokołu TLS lub zakończenie ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji protokołu TLS.
Porty zapory na serwerze uruchamiają agenta. Agent wymaga otwarcia następujących portów zapory, aby umożliwić komunikację z punktami końcowymi usługi Microsoft Entra Connect Health:
- Port TCP 443
- Port TCP 5671

Najnowsza wersja agenta nie wymaga portu 5671. Uaktualnij do najnowszej wersji, aby wymagany był tylko port 443. Aby uzyskać więcej informacji, zobacz Wymagane porty i protokoły tożsamości hybrydowej.
Jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer, zezwalaj na określone witryny sieci Web. Jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer, zezwól na następujące witryny internetowe na serwerze, na którym jest instalowany agent:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
— Serwer federacyjny organizacji, który jest zaufany przez identyfikator Firmy Microsoft Entra (na przykład https://sts.contoso.com).

Aby uzyskać więcej informacji, zobacz Jak skonfigurować program Internet Explorer. Jeśli masz serwer proxy w sieci, zobacz notatkę wyświetlaną na końcu tej tabeli.
Zainstalowano program PowerShell w wersji 5.0 lub nowszej. System Windows Server 2016 zawiera program PowerShell w wersji 5.0.

Ważne

System Windows Server Core nie obsługuje instalowania agenta programu Microsoft Entra Connect Health.

Uwaga

Jeśli masz wysoce zablokowane i ograniczone środowisko, musisz dodać więcej adresów URL niż adresy URL listy tabel dla zwiększonych zabezpieczeń programu Internet Explorer. Dodaj również adresy URL wymienione w tabeli w następnej sekcji.

Ważne

Jeśli zainstalowano usługę Microsoft Entra Connect Sync przy użyciu konta z rolą administratora hybrydowego, agent będzie w stanie wyłączonym. Aby aktywować agenta, należy zainstalować go ponownie przy użyciu konta, które jest administratorem globalnym.

Nowe wersje agenta i automatyczne uaktualnianie

Jeśli zostanie wydana nowa wersja agenta kondycji, wszystkie istniejące, zainstalowane agenty zostaną automatycznie zaktualizowane.

Łączność wychodząca z punktami końcowymi usługi platformy Azure

Podczas instalacji i środowiska uruchomieniowego agent musi mieć łączność z punktami końcowymi usługi Microsoft Entra Connect Health. Jeśli zapory blokują łączność wychodzącą, upewnij się, że adresy URL w poniższej tabeli nie są domyślnie blokowane.

Nie wyłączaj monitorowania zabezpieczeń ani inspekcji tych adresów URL. Zamiast tego zezwól na nie tak, jak zezwalasz na inny ruch internetowy.

Te adresy URL umożliwiają komunikację z punktami końcowymi usługi Microsoft Entra Connect Health. W dalszej części tego artykułu dowiesz się, jak sprawdzić łączność wychodzącą przy użyciu polecenia Test-MicrosoftEntraConnectHealthConnectivity.

Środowisko domeny Wymagane punkty końcowe usług platformy Azure
Ogólna opinia publiczna - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Port: 5671 (Jeśli 5671 jest zablokowany, agent wraca do 443, ale zalecamy użycie portu 5671. Ten punkt końcowy nie jest wymagany w najnowszej wersji agenta).
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Pobieranie agentów

Aby pobrać i zainstalować agenta programu Microsoft Entra Connect Health:

Instalowanie agenta dla usług AD FS

Aby uzyskać informacje na temat instalowania i monitorowania usług AD FS za pomocą agenta programu Microsoft Entra Connect Health, zobacz Microsoft Entra Connect Health agentów dla usług AD FS.

Instalowanie agenta na potrzeby synchronizacji

Agent microsoft Entra Connect Health do celów synchronizacji jest instalowany automatycznie w najnowszej wersji programu Microsoft Entra Connect. Aby użyć programu Microsoft Entra Connect do celów synchronizacji, pobierz najnowszą wersję programu Microsoft Entra Connect i zainstaluj ją.

Aby sprawdzić, czy agent został zainstalowany, poszukaj następujących usług na serwerze. Jeśli konfiguracja została ukończona, usługi powinny już działać. W przeciwnym razie usługi zostaną zatrzymane do momentu ukończenia konfiguracji.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Zrzut ekranu przedstawiający uruchomioną aplikację Microsoft Entra Connect Health na potrzeby usług synchronizacji na serwerze.

Uwaga

Pamiętaj, że do korzystania z programu Microsoft Entra Connect Health musisz mieć identyfikator Microsoft Entra ID P1 lub P2. Jeśli nie masz identyfikatora Microsoft Entra ID P1 lub P2, nie możesz ukończyć konfiguracji w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz wymagania.

Ręczne rejestrowanie programu Microsoft Entra Connect Health na potrzeby synchronizacji

Jeśli rejestracja agenta synchronizacji programu Microsoft Entra Connect Health zakończy się niepowodzeniem po pomyślnym zainstalowaniu programu Microsoft Entra Connect, możesz użyć polecenia programu PowerShell, aby ręcznie zarejestrować agenta.

Ważne

Użyj tego polecenia programu PowerShell tylko wtedy, gdy rejestracja agenta zakończy się niepowodzeniem po zainstalowaniu programu Microsoft Entra Connect.

Ręcznie zarejestruj agenta programu Microsoft Entra Connect Health do celów synchronizacji przy użyciu następującego polecenia programu PowerShell. Usługi Microsoft Entra Connect Health zostaną uruchomione po pomyślnym zarejestrowaniu agenta.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Polecenie przyjmuje następujące parametry:

  • AttributeFiltering: $true (ustawienie domyślne) jeśli program Microsoft Entra Connect nie synchronizuje domyślnego zestawu atrybutów i został dostosowany do używania filtrowanego zestawu atrybutów. W przeciwnym razie użyj polecenia $false.
  • StagingMode: $false (ustawienie domyślne), jeśli serwer Microsoft Entra Connect nie jest w trybie przejściowym. Jeśli serwer jest skonfigurowany do pracy w trybie przejściowym, użyj polecenia $true.

Po wyświetleniu monitu o uwierzytelnienie użyj tego samego konta administratora globalnego (na przykład admin@domain.onmicrosoft.com) użytego do skonfigurowania programu Microsoft Entra Connect.

Instalowanie agenta dla usług AD Domain Services

Aby rozpocząć instalację agenta, kliknij dwukrotnie pobrany plik .exe . W pierwszym oknie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający okno instalacji programu Microsoft Entra Connect Health dla usług AD DS.

Po wyświetleniu monitu zaloguj się przy użyciu konta Microsoft Entra z uprawnieniami do rejestrowania agenta. Domyślnie konto administratora tożsamości hybrydowej ma uprawnienia.

Zrzut ekranu przedstawiający okno logowania dla usług AD DS programu Microsoft Entra Connect Health.

Po zalogowaniu proces instalacji zostanie zakończony i można zamknąć okno.

Zrzut ekranu przedstawiający komunikat z potwierdzeniem instalacji agenta usług AD DS programu Microsoft Entra Connect Health.

W tym momencie usługi agentów powinny zacząć automatycznie zezwalać agentowi na bezpieczne przekazywanie wymaganych danych do usługi w chmurze.

Aby sprawdzić, czy agent został zainstalowany, poszukaj następujących usług na serwerze. Jeśli konfiguracja została zakończona, te usługi powinny być uruchomione. W przeciwnym razie są one zatrzymywane do momentu ukończenia konfiguracji.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Zrzut ekranu przedstawiający usługi MICROSOFT Entra Connect Health usług AD DS.

Szybkie instalowanie agenta na wielu serwerach

  1. Utwórz konto użytkownika w usłudze Microsoft Entra ID. Zabezpiecz konto przy użyciu hasła.

  2. Przypisz rolę Właściciela dla tego lokalnego konta Microsoft Entra w programie Microsoft Entra Connect Health przy użyciu portalu. Przypisz rolę do wszystkich wystąpień usługi.

  3. Pobierz plik MSI .exe na lokalnym kontrolerze domeny na potrzeby instalacji.

  4. Uruchom poniższy skrypt. Zastąp parametry nowym kontem użytkownika i jego hasłem.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Po zakończeniu możesz usunąć dostęp dla konta lokalnego, wykonując co najmniej jedno z następujących zadań:

  • Usuń przypisanie roli dla konta lokalnego dla programu Microsoft Entra Connect Health.
  • Obróć hasło dla konta lokalnego.
  • Wyłącz konto lokalne Microsoft Entra.
  • Usuń konto lokalne Microsoft Entra.

Rejestrowanie agenta przy użyciu programu PowerShell

Po zainstalowaniu odpowiedniego pliku setup.exe agenta można zarejestrować agenta przy użyciu następujących poleceń programu PowerShell, w zależności od roli. Otwórz program PowerShell jako administrator i uruchom odpowiednie polecenie:

Register-MicrosoftEntraConnectHealthAgent

Uwaga

Aby zarejestrować się w suwerennych chmurach, użyj następujących wierszy polecenia:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Te polecenia akceptują Credential jako parametr umożliwiający ukończenie rejestracji nieinterakcyjnej lub ukończenie rejestracji na komputerze z systemem Server Core. Należy pamiętać o następujących czynnikach:

  • Możesz przechwycić Credential w zmiennej programu PowerShell, która jest przekazywana jako parametr.
  • Możesz podać dowolną tożsamość firmy Microsoft Entra, która ma uprawnienia do rejestrowania agentów i która nie ma włączonego uwierzytelniania wieloskładnikowego.
  • Domyślnie administratorzy globalni mają uprawnienia do rejestrowania agentów. W tym kroku można również zezwolić na mniej uprzywilejowane tożsamości. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach platformy Azure.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Konfigurowanie agentów programu Microsoft Entra Connect Health do korzystania z serwera proxy HTTP

Możesz skonfigurować agentów programu Microsoft Entra Connect Health do pracy z serwerem proxy HTTP.

Uwaga

  • Netsh WinHttp set ProxyServerAddress nie jest obsługiwany. Agent używa System.Net zamiast usług HTTP systemu Windows do tworzenia żądań internetowych.
  • Skonfigurowany adres serwera proxy HTTP jest używany do przekazywania zaszyfrowanych komunikatów HTTPS.
  • Uwierzytelnione serwery proxy (przy użyciu protokołu HTTPBasic) nie są obsługiwane.

Zmienianie konfiguracji serwera proxy agenta

Aby skonfigurować agenta microsoft Entra Connect Health do korzystania z serwera proxy HTTP, możesz:

  • Zaimportuj istniejące ustawienia serwera proxy.
  • Ręczne określanie adresów serwera proxy.
  • Wyczyść istniejącą konfigurację serwera proxy.

Uwaga

Aby zaktualizować ustawienia serwera proxy, należy ponownie uruchomić wszystkie usługi agenta Microsoft Entra Connect Health. Aby ponownie uruchomić wszystkich agentów, uruchom następujące polecenie:

Restart-Service AzureADConnectHealthAgent*

Importowanie istniejących ustawień serwera proxy

Ustawienia serwera proxy HTTP programu Internet Explorer można zaimportować, aby agenci programu Microsoft Entra Connect Health mogli używać tych ustawień. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Możesz zaimportować ustawienia serwera proxy WinHTTP, aby agenci programu Microsoft Entra Connect Health mogli ich używać. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ręczne określanie adresów proxy

Możesz ręcznie określić serwer proxy. Na każdym serwerze z uruchomionym agentem kondycji uruchom następujące polecenie programu PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Oto przykład:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

W tym przykładzie:

  • Ustawienie address może być nazwą serwera rozpoznawania DNS lub adresem IPv4.
  • Można pominąć port. Jeśli tak, 443 jest portem domyślnym.

Wyczyść istniejącą konfigurację serwera proxy

Istniejącą konfigurację serwera proxy możesz wyczyścić, uruchamiając następujące polecenie:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Odczytywanie bieżących ustawień serwera proxy

Bieżące ustawienia serwera proxy można odczytać, uruchamiając następujące polecenie:

Get-MicrosoftEntraConnectHealthProxySettings

Testowanie łączności z usługą Microsoft Entra Connect Health

Czasami agent microsoft Entra Connect Health traci łączność z usługą Microsoft Entra Connect Health. Przyczyny tej utraty łączności mogą obejmować problemy z siecią, problemy z uprawnieniami i różne inne problemy.

Jeśli agent nie może wysyłać danych do usługi Microsoft Entra Connect Health przez dłużej niż dwie godziny, w portalu zostanie wyświetlony następujący alert: Usługa kondycji dane nie są aktualne.

Możesz dowiedzieć się, czy agent programu Microsoft Entra Connect Health może przekazać dane do usługi Microsoft Entra Connect Health, uruchamiając następujące polecenie programu PowerShell:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parametr Role przyjmuje obecnie następujące wartości:

  • ADFS
  • Sync
  • ADDS

Uwaga

Aby użyć narzędzia łączności, należy najpierw zarejestrować agenta. Jeśli nie możesz ukończyć rejestracji agenta, upewnij się, że spełniasz wszystkie wymagania programu Microsoft Entra Connect Health. Łączność jest domyślnie testowana podczas rejestracji agenta.

Następne kroki

Zapoznaj się z następującymi powiązanymi artykułami: