Instalar os agentes do Microsoft Entra Connect Health
Neste artigo, você aprenderá a instalar e configurar os agentes do Microsoft Entra Connect Health.
Saiba como fazer o download dos agentes.
Nota
O Microsoft Entra Connect Health não está disponível na nuvem soberana da China.
Requisitos
A tabela a seguir lista os requisitos para usar o Microsoft Entra Connect Health:
Requisito | Description |
---|---|
Você tem uma assinatura do Microsoft Entra ID P1 ou P2. | O Microsoft Entra Connect Health é um recurso do Microsoft Entra ID P1 ou P2. Para obter mais informações, consulte Inscrever-se no Microsoft Entra ID P1 ou P2. Para iniciar uma versão de avaliação gratuita de 30 dias, veja Iniciar uma versão de avaliação. |
Você é um administrador global no Microsoft Entra ID. | Atualmente, apenas contas de Administrador Global podem instalar e configurar agentes de integridade. Para obter mais informações, consulte Administrando o diretório do Microsoft Entra. Usando o controle de acesso baseado em função do Azure (Azure RBAC), você pode permitir que outros usuários em sua organização acessem o Microsoft Entra Connect Health. Para obter mais informações, consulte RBAC do Azure para Microsoft Entra Connect Health. Importante: Use uma conta corporativa ou de estudante para instalar os agentes. Não é possível usar uma conta da Microsoft para instalar os agentes. Para obter mais informações, consulte Inscrever-se no Azure como uma organização. |
O agente Microsoft Entra Connect Health é instalado em cada servidor de destino. | Os agentes de integridade devem ser instalados e configurados em servidores de destino para que possam receber dados e fornecer recursos de monitoramento e análise. Por exemplo, para obter dados da infraestrutura dos Serviços de Federação do Ative Directory (AD FS), você deve instalar o agente no servidor AD FS e no servidor Proxy de Aplicativo Web. Da mesma forma, para obter dados da infraestrutura dos Serviços de Domínio AD local, você deve instalar o agente nos controladores de domínio. |
Os pontos de extremidade de serviço do Azure têm conectividade de saída. | Durante a instalação e o tempo de execução, o agente requer conectividade com os pontos de extremidade do serviço Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, adicione os pontos de extremidade de conectividade de saída a uma lista de permissões. |
A conectividade de saída é baseada em endereços IP. | Para obter informações sobre filtragem de firewall com base em endereços IP, consulte Intervalos de IP do Azure. |
A inspeção TLS para tráfego de saída é filtrada ou desabilitada. | A etapa de registro do agente ou as operações de upload de dados podem falhar se houver inspeção ou término TLS para o tráfego de saída na camada de rede. Para obter mais informações, consulte Configurar a inspeção TLS. |
As portas de firewall no servidor estão executando o agente. | O agente requer que as seguintes portas de firewall estejam abertas para que ele possa se comunicar com os pontos de extremidade do serviço Microsoft Entra Connect Health: - Porta TCP 443 - Porta TCP 5671 A versão mais recente do agente não requer a porta 5671. Atualize para a versão mais recente para que apenas a porta 443 seja necessária. Para obter mais informações, consulte Portas e protocolos necessários de identidade híbrida. |
Se a segurança reforçada do Internet Explorer estiver habilitada, permita sites especificados. | Se a segurança reforçada do Internet Explorer estiver habilitada, permita os seguintes sites no servidor onde você instala o agente: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - O servidor de federação da sua organização em que o Microsoft Entra ID confia (por exemplo, https://sts.contoso.com ). Para obter mais informações, consulte Como configurar o Internet Explorer. Se você tiver um proxy em sua rede, consulte a observação que aparece no final desta tabela. |
O PowerShell versão 5.0 ou posterior está instalado. | O Windows Server 2016 inclui o PowerShell versão 5.0. |
Importante
O Windows Server Core não suporta a instalação do agente Microsoft Entra Connect Health.
Nota
Se você tiver um ambiente altamente bloqueado e restrito, precisará adicionar mais URLs do que as URLs listadas na tabela para segurança aprimorada do Internet Explorer. Adicione também URLs listados na tabela da próxima seção.
Importante
Se você instalou o Microsoft Entra Connect Sync usando uma conta com a função de administrador híbrido, o agente estará em um estado desativado. Para ativar o agente, você precisará reinstalá-lo usando uma conta que seja um administrador global.
Novas versões do agente e atualização automática
Se uma nova versão do agente de integridade for lançada, todos os agentes instalados existentes serão atualizados automaticamente.
Conectividade de saída com pontos de extremidade de serviço do Azure
Durante a instalação e o tempo de execução, o agente precisa de conectividade com os pontos de extremidade do serviço Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, verifique se as URLs na tabela a seguir não estão bloqueadas por padrão.
Não desative o monitoramento de segurança ou a inspeção desses URLs. Em vez disso, permita-os como você permitiria outro tráfego da Internet.
Essas URLs permitem a comunicação com os pontos de extremidade do serviço Microsoft Entra Connect Health. Mais adiante neste artigo, você aprenderá como verificar a conectividade de saída usando Test-MicrosoftEntraConnectHealthConnectivity
o .
Ambiente de domínio | Pontos finais do serviço do Azure necessários |
---|---|
Público em geral | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Porta: 5671 (Se 5671 estiver bloqueado, o agente volta para 443, mas recomendamos que você use a porta 5671. Esse ponto de extremidade não é necessário na versão mais recente do agente.)- *.adhybridhealth.azure.com/ - https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto de extremidade é usado apenas para fins de descoberta durante o registro.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Este ponto de extremidade é usado apenas para fins de descoberta durante o registro.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Faça o download dos agentes
Para baixar e instalar o agente Microsoft Entra Connect Health:
- Certifique-se de que satisfaz os requisitos para instalar o Microsoft Entra Connect Health.
- Introdução ao uso do Microsoft Entra Connect Health para AD FS:
- Baixe o agente Microsoft Entra Connect Health para AD FS.
- Consulte as instruções de instalação.
- Comece a usar o Microsoft Entra Connect Health para sincronização:
- Transfira e instale a versão mais recente do Microsoft Entra Connect. O agente de integridade para sincronização é instalado como parte da instalação do Microsoft Entra Connect (versão 1.0.9125.0 ou posterior).
- Introdução ao uso do Microsoft Entra Connect Health para Serviços de Domínio AD:
- Baixe o agente Microsoft Entra Connect Health para Serviços de Domínio AD.
- Consulte as instruções de instalação.
Instalar o agente para AD FS
Para obter informações sobre como instalar e monitorar o AD FS com o agente Microsoft Entra Connect Health, consulte Agentes do Microsoft Entra Connect Health para AD FS.
Instalar o agente para sincronização
O agente Microsoft Entra Connect Health para sincronização é instalado automaticamente na versão mais recente do Microsoft Entra Connect. Para usar o Microsoft Entra Connect para sincronização, baixe a versão mais recente do Microsoft Entra Connect e instale-o.
Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se você concluiu a configuração, os serviços já devem estar em execução. Caso contrário, os serviços serão interrompidos até que a configuração seja concluída.
- Microsoft Entra Connect Agent Updater
- Agente de integridade do Microsoft Entra Connect
Nota
Lembre-se de que você deve ter o Microsoft Entra ID P1 ou P2 para usar o Microsoft Entra Connect Health. Se você não tiver o Microsoft Entra ID P1 ou P2, não poderá concluir a configuração no centro de administração do Microsoft Entra. Para obter mais informações, consulte os requisitos.
Registrar manualmente o Microsoft Entra Connect Health para sincronização
Se o registro do agente de sincronização do Microsoft Entra Connect Health falhar após a instalação bem-sucedida do Microsoft Entra Connect, você poderá usar um comando do PowerShell para registrar manualmente o agente.
Importante
Use este comando do PowerShell somente se o registro do agente falhar após a instalação do Microsoft Entra Connect.
Registre manualmente o agente Microsoft Entra Connect Health para sincronização usando o seguinte comando do PowerShell. Os serviços do Microsoft Entra Connect Health serão iniciados após o agente ter sido registrado com êxito.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
O comando recebe os seguintes parâmetros:
AttributeFiltering
:$true
(padrão) se o Microsoft Entra Connect não estiver sincronizando o conjunto de atributos padrão e tiver sido personalizado para usar um conjunto de atributos filtrados. Caso contrário, use$false
.StagingMode
:$false
(padrão) se o servidor Microsoft Entra Connect não estiver no modo de preparo. Se o servidor estiver configurado para estar no modo de preparação, use$true
.
Quando for solicitada a autenticação, use a mesma conta de Administrador Global (como admin@domain.onmicrosoft.com
) que você usou para configurar o Microsoft Entra Connect.
Instalar o agente para os Serviços de Domínio do AD
Para iniciar a instalação do agente, clique duas vezes no arquivo de .exe que você baixou. Na primeira janela, selecione Instalar.
Quando solicitado, entre usando uma conta do Microsoft Entra que tenha permissões para registrar o agente. Por padrão, a conta de Administrador de Identidade Híbrida tem permissões.
Depois de entrar, o processo de instalação será concluído e você poderá fechar a janela.
Neste ponto, os serviços do agente devem começar a permitir automaticamente que o agente carregue com segurança os dados necessários para o serviço de nuvem.
Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se concluiu a configuração, já devem estar a ser executados. Caso contrário, eles serão interrompidos até que a configuração seja concluída.
- Microsoft Entra Connect Agent Updater
- Agente de integridade do Microsoft Entra Connect
Instale rapidamente o agente em vários servidores
Crie uma conta de usuário no Microsoft Entra ID. Proteja a conta usando uma senha.
Atribua a função de Proprietário para esta conta local do Microsoft Entra no Microsoft Entra Connect Health usando o portal. Atribua a função a todas as instâncias de serviço.
Baixe o arquivo MSI .exe no controlador de domínio local para a instalação.
Execute o seguinte script. Substitua os parâmetros por sua nova conta de usuário e sua senha.
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Quando terminar, você poderá remover o acesso à conta local concluindo uma ou mais das seguintes tarefas:
- Remova a atribuição de função para a conta local do Microsoft Entra Connect Health.
- Gire a senha da conta local.
- Desative a conta local do Microsoft Entra.
- Exclua a conta local do Microsoft Entra.
Registrar o agente usando o PowerShell
Depois de instalar o arquivo de setup.exe do agente relevante, você pode registrar o agente usando os seguintes comandos do PowerShell, dependendo da função. Abra o PowerShell como administrador e execute o comando relevante:
Register-MicrosoftEntraConnectHealthAgent
Nota
Para se registrar contra nuvens soberanas, use as seguintes linhas de comando:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Esses comandos são aceitos Credential
como um parâmetro para concluir o registro de forma não interativa ou para concluir o registro em um computador que executa o Server Core. Tenha estes fatores em mente:
- Você pode capturar
Credential
em uma variável do PowerShell que é passada como um parâmetro. - Você pode fornecer qualquer identidade do Microsoft Entra que tenha permissões para registrar os agentes e que não tenha a autenticação multifator habilitada.
- Por padrão, os Administradores Globais têm permissões para registrar os agentes. Você também pode permitir que identidades menos privilegiadas façam essa etapa. Para obter mais informações, consulte Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Configurar agentes do Microsoft Entra Connect Health para usar proxy HTTP
Você pode configurar os agentes do Microsoft Entra Connect Health para trabalhar com um proxy HTTP.
Nota
Netsh WinHttp set ProxyServerAddress
não é suportado. O agente usa System.Net em vez do Windows HTTP Services para fazer solicitações da Web.- O endereço proxy HTTP configurado é usado para passar mensagens HTTPS criptografadas.
- Não há suporte para proxies autenticados (usando HTTPBasic).
Alterar a configuração do proxy do agente
Para configurar o agente do Microsoft Entra Connect Health para usar um proxy HTTP, você pode:
- Importe as configurações de proxy existentes.
- Especifique endereços proxy manualmente.
- Limpe a configuração de proxy existente.
Nota
Para atualizar as configurações de proxy, reinicie todos os serviços do agente Microsoft Entra Connect Health. Para reiniciar todos os agentes, execute o seguinte comando:
Restart-Service AzureADConnectHealthAgent*
Importar configurações de proxy existentes
Você pode importar as configurações de proxy HTTP do Internet Explorer para que os agentes do Microsoft Entra Connect Health possam usar as configurações. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Você pode importar configurações de proxy WinHTTP para que os agentes do Microsoft Entra Connect Health possam usá-las. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Especificar endereços proxy manualmente
Você pode especificar manualmente um servidor proxy. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Eis um exemplo:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
Neste exemplo:
- A
address
configuração pode ser um nome de servidor resolúvel por DNS ou um endereço IPv4. - Você pode omitir
port
. Se você fizer isso, 443 é a porta padrão.
Limpar a configuração de proxy existente
Pode limpar a configuração de proxy existente ao executar o seguinte comando:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Ler as definições de proxy atuais
Você pode ler as configurações de proxy atuais executando o seguinte comando:
Get-MicrosoftEntraConnectHealthProxySettings
Testar a conectividade com o serviço Microsoft Entra Connect Health
Ocasionalmente, o agente Microsoft Entra Connect Health perde a conectividade com o serviço Microsoft Entra Connect Health. As causas dessa perda de conectividade podem incluir problemas de rede, problemas de permissões e vários outros problemas.
Se o agente não puder enviar dados para o serviço Microsoft Entra Connect Health por mais de duas horas, o seguinte alerta será exibido no portal: Os dados do Serviço de Saúde não estão atualizados.
Você pode descobrir se o agente afetado do Microsoft Entra Connect Health pode carregar dados para o serviço Microsoft Entra Connect Health executando o seguinte comando do PowerShell:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Atualmente Role
, o parâmetro usa os seguintes valores:
ADFS
Sync
ADDS
Nota
Para usar a ferramenta de conectividade, você deve primeiro registrar o agente. Se não conseguir concluir o registo do agente, certifique-se de que cumpre todos os requisitos para o Microsoft Entra Connect Health. A conectividade é testada por padrão durante o registro do agente.
Próximos passos
Confira os seguintes artigos relacionados:
- Estado de funcionamento do Microsoft Entra Connect
- Operações do Microsoft Entra Connect Health
- Usando o Microsoft Entra Connect Health com o AD FS
- Usando o Microsoft Entra Connect Health para sincronização
- Usando o Microsoft Entra Connect Health com os Serviços de Domínio AD
- Perguntas frequentes sobre a integridade do Microsoft Entra Connect
- Histórico de versões do Microsoft Entra Connect Health