Partilhar via


Instalar os agentes do Microsoft Entra Connect Health

Neste artigo, você aprenderá a instalar e configurar os agentes do Microsoft Entra Connect Health.

Saiba como fazer o download dos agentes.

Nota

O Microsoft Entra Connect Health não está disponível na nuvem soberana da China.

Requisitos

A tabela a seguir lista os requisitos para usar o Microsoft Entra Connect Health:

Requisito Description
Você tem uma assinatura do Microsoft Entra ID P1 ou P2. O Microsoft Entra Connect Health é um recurso do Microsoft Entra ID P1 ou P2. Para obter mais informações, consulte Inscrever-se no Microsoft Entra ID P1 ou P2.

Para iniciar uma versão de avaliação gratuita de 30 dias, veja Iniciar uma versão de avaliação.
Você é um administrador global no Microsoft Entra ID. Atualmente, apenas contas de Administrador Global podem instalar e configurar agentes de integridade. Para obter mais informações, consulte Administrando o diretório do Microsoft Entra.

Usando o controle de acesso baseado em função do Azure (Azure RBAC), você pode permitir que outros usuários em sua organização acessem o Microsoft Entra Connect Health. Para obter mais informações, consulte RBAC do Azure para Microsoft Entra Connect Health.

Importante: Use uma conta corporativa ou de estudante para instalar os agentes. Não é possível usar uma conta da Microsoft para instalar os agentes. Para obter mais informações, consulte Inscrever-se no Azure como uma organização.
O agente Microsoft Entra Connect Health é instalado em cada servidor de destino. Os agentes de integridade devem ser instalados e configurados em servidores de destino para que possam receber dados e fornecer recursos de monitoramento e análise.

Por exemplo, para obter dados da infraestrutura dos Serviços de Federação do Ative Directory (AD FS), você deve instalar o agente no servidor AD FS e no servidor Proxy de Aplicativo Web. Da mesma forma, para obter dados da infraestrutura dos Serviços de Domínio AD local, você deve instalar o agente nos controladores de domínio.
Os pontos de extremidade de serviço do Azure têm conectividade de saída. Durante a instalação e o tempo de execução, o agente requer conectividade com os pontos de extremidade do serviço Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, adicione os pontos de extremidade de conectividade de saída a uma lista de permissões.
A conectividade de saída é baseada em endereços IP. Para obter informações sobre filtragem de firewall com base em endereços IP, consulte Intervalos de IP do Azure.
A inspeção TLS para tráfego de saída é filtrada ou desabilitada. A etapa de registro do agente ou as operações de upload de dados podem falhar se houver inspeção ou término TLS para o tráfego de saída na camada de rede. Para obter mais informações, consulte Configurar a inspeção TLS.
As portas de firewall no servidor estão executando o agente. O agente requer que as seguintes portas de firewall estejam abertas para que ele possa se comunicar com os pontos de extremidade do serviço Microsoft Entra Connect Health:
- Porta TCP 443
- Porta TCP 5671

A versão mais recente do agente não requer a porta 5671. Atualize para a versão mais recente para que apenas a porta 443 seja necessária. Para obter mais informações, consulte Portas e protocolos necessários de identidade híbrida.
Se a segurança reforçada do Internet Explorer estiver habilitada, permita sites especificados. Se a segurança reforçada do Internet Explorer estiver habilitada, permita os seguintes sites no servidor onde você instala o agente:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
- O servidor de federação da sua organização em que o Microsoft Entra ID confia (por exemplo, https://sts.contoso.com).

Para obter mais informações, consulte Como configurar o Internet Explorer. Se você tiver um proxy em sua rede, consulte a observação que aparece no final desta tabela.
O PowerShell versão 5.0 ou posterior está instalado. O Windows Server 2016 inclui o PowerShell versão 5.0.

Importante

O Windows Server Core não suporta a instalação do agente Microsoft Entra Connect Health.

Nota

Se você tiver um ambiente altamente bloqueado e restrito, precisará adicionar mais URLs do que as URLs listadas na tabela para segurança aprimorada do Internet Explorer. Adicione também URLs listados na tabela da próxima seção.

Importante

Se você instalou o Microsoft Entra Connect Sync usando uma conta com a função de administrador híbrido, o agente estará em um estado desativado. Para ativar o agente, você precisará reinstalá-lo usando uma conta que seja um administrador global.

Novas versões do agente e atualização automática

Se uma nova versão do agente de integridade for lançada, todos os agentes instalados existentes serão atualizados automaticamente.

Conectividade de saída com pontos de extremidade de serviço do Azure

Durante a instalação e o tempo de execução, o agente precisa de conectividade com os pontos de extremidade do serviço Microsoft Entra Connect Health. Se os firewalls bloquearem a conectividade de saída, verifique se as URLs na tabela a seguir não estão bloqueadas por padrão.

Não desative o monitoramento de segurança ou a inspeção desses URLs. Em vez disso, permita-os como você permitiria outro tráfego da Internet.

Essas URLs permitem a comunicação com os pontos de extremidade do serviço Microsoft Entra Connect Health. Mais adiante neste artigo, você aprenderá como verificar a conectividade de saída usando Test-MicrosoftEntraConnectHealthConnectivityo .

Ambiente de domínio Pontos finais do serviço do Azure necessários
Público em geral - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Porta: 5671 (Se 5671 estiver bloqueado, o agente volta para 443, mas recomendamos que você use a porta 5671. Esse ponto de extremidade não é necessário na versão mais recente do agente.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Este ponto de extremidade é usado apenas para fins de descoberta durante o registro.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Este ponto de extremidade é usado apenas para fins de descoberta durante o registro.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Faça o download dos agentes

Para baixar e instalar o agente Microsoft Entra Connect Health:

Instalar o agente para AD FS

Para obter informações sobre como instalar e monitorar o AD FS com o agente Microsoft Entra Connect Health, consulte Agentes do Microsoft Entra Connect Health para AD FS.

Instalar o agente para sincronização

O agente Microsoft Entra Connect Health para sincronização é instalado automaticamente na versão mais recente do Microsoft Entra Connect. Para usar o Microsoft Entra Connect para sincronização, baixe a versão mais recente do Microsoft Entra Connect e instale-o.

Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se você concluiu a configuração, os serviços já devem estar em execução. Caso contrário, os serviços serão interrompidos até que a configuração seja concluída.

  • Microsoft Entra Connect Agent Updater
  • Agente de integridade do Microsoft Entra Connect

Captura de tela que mostra o Microsoft Entra Connect Health em execução para serviços de sincronização no servidor.

Nota

Lembre-se de que você deve ter o Microsoft Entra ID P1 ou P2 para usar o Microsoft Entra Connect Health. Se você não tiver o Microsoft Entra ID P1 ou P2, não poderá concluir a configuração no centro de administração do Microsoft Entra. Para obter mais informações, consulte os requisitos.

Registrar manualmente o Microsoft Entra Connect Health para sincronização

Se o registro do agente de sincronização do Microsoft Entra Connect Health falhar após a instalação bem-sucedida do Microsoft Entra Connect, você poderá usar um comando do PowerShell para registrar manualmente o agente.

Importante

Use este comando do PowerShell somente se o registro do agente falhar após a instalação do Microsoft Entra Connect.

Registre manualmente o agente Microsoft Entra Connect Health para sincronização usando o seguinte comando do PowerShell. Os serviços do Microsoft Entra Connect Health serão iniciados após o agente ter sido registrado com êxito.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

O comando recebe os seguintes parâmetros:

  • AttributeFiltering: $true (padrão) se o Microsoft Entra Connect não estiver sincronizando o conjunto de atributos padrão e tiver sido personalizado para usar um conjunto de atributos filtrados. Caso contrário, use $false.
  • StagingMode: $false (padrão) se o servidor Microsoft Entra Connect não estiver no modo de preparo. Se o servidor estiver configurado para estar no modo de preparação, use $true.

Quando for solicitada a autenticação, use a mesma conta de Administrador Global (como admin@domain.onmicrosoft.com) que você usou para configurar o Microsoft Entra Connect.

Instalar o agente para os Serviços de Domínio do AD

Para iniciar a instalação do agente, clique duas vezes no arquivo de .exe que você baixou. Na primeira janela, selecione Instalar.

Captura de tela que mostra a janela de instalação do agente Microsoft Entra Connect Health para AD DS.

Quando solicitado, entre usando uma conta do Microsoft Entra que tenha permissões para registrar o agente. Por padrão, a conta de Administrador de Identidade Híbrida tem permissões.

Captura de ecrã que mostra a janela de início de sessão do AD DS do Microsoft Entra Connect Health.

Depois de entrar, o processo de instalação será concluído e você poderá fechar a janela.

Captura de tela que mostra a mensagem de confirmação da instalação do agente AD DS do Microsoft Entra Connect Health.

Neste ponto, os serviços do agente devem começar a permitir automaticamente que o agente carregue com segurança os dados necessários para o serviço de nuvem.

Para verificar se o agente foi instalado, procure os seguintes serviços no servidor. Se concluiu a configuração, já devem estar a ser executados. Caso contrário, eles serão interrompidos até que a configuração seja concluída.

  • Microsoft Entra Connect Agent Updater
  • Agente de integridade do Microsoft Entra Connect

Captura de ecrã que mostra os serviços AD DS do Microsoft Entra Connect Health.

Instale rapidamente o agente em vários servidores

  1. Crie uma conta de usuário no Microsoft Entra ID. Proteja a conta usando uma senha.

  2. Atribua a função de Proprietário para esta conta local do Microsoft Entra no Microsoft Entra Connect Health usando o portal. Atribua a função a todas as instâncias de serviço.

  3. Baixe o arquivo MSI .exe no controlador de domínio local para a instalação.

  4. Execute o seguinte script. Substitua os parâmetros por sua nova conta de usuário e sua senha.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Quando terminar, você poderá remover o acesso à conta local concluindo uma ou mais das seguintes tarefas:

  • Remova a atribuição de função para a conta local do Microsoft Entra Connect Health.
  • Gire a senha da conta local.
  • Desative a conta local do Microsoft Entra.
  • Exclua a conta local do Microsoft Entra.

Registrar o agente usando o PowerShell

Depois de instalar o arquivo de setup.exe do agente relevante, você pode registrar o agente usando os seguintes comandos do PowerShell, dependendo da função. Abra o PowerShell como administrador e execute o comando relevante:

Register-MicrosoftEntraConnectHealthAgent

Nota

Para se registrar contra nuvens soberanas, use as seguintes linhas de comando:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Esses comandos são aceitos Credential como um parâmetro para concluir o registro de forma não interativa ou para concluir o registro em um computador que executa o Server Core. Tenha estes fatores em mente:

  • Você pode capturar Credential em uma variável do PowerShell que é passada como um parâmetro.
  • Você pode fornecer qualquer identidade do Microsoft Entra que tenha permissões para registrar os agentes e que não tenha a autenticação multifator habilitada.
  • Por padrão, os Administradores Globais têm permissões para registrar os agentes. Você também pode permitir que identidades menos privilegiadas façam essa etapa. Para obter mais informações, consulte Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Configurar agentes do Microsoft Entra Connect Health para usar proxy HTTP

Você pode configurar os agentes do Microsoft Entra Connect Health para trabalhar com um proxy HTTP.

Nota

  • Netsh WinHttp set ProxyServerAddress não é suportado. O agente usa System.Net em vez do Windows HTTP Services para fazer solicitações da Web.
  • O endereço proxy HTTP configurado é usado para passar mensagens HTTPS criptografadas.
  • Não há suporte para proxies autenticados (usando HTTPBasic).

Alterar a configuração do proxy do agente

Para configurar o agente do Microsoft Entra Connect Health para usar um proxy HTTP, você pode:

  • Importe as configurações de proxy existentes.
  • Especifique endereços proxy manualmente.
  • Limpe a configuração de proxy existente.

Nota

Para atualizar as configurações de proxy, reinicie todos os serviços do agente Microsoft Entra Connect Health. Para reiniciar todos os agentes, execute o seguinte comando:

Restart-Service AzureADConnectHealthAgent*

Importar configurações de proxy existentes

Você pode importar as configurações de proxy HTTP do Internet Explorer para que os agentes do Microsoft Entra Connect Health possam usar as configurações. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Você pode importar configurações de proxy WinHTTP para que os agentes do Microsoft Entra Connect Health possam usá-las. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Especificar endereços proxy manualmente

Você pode especificar manualmente um servidor proxy. Em cada um dos servidores que executam o agente de integridade, execute o seguinte comando do PowerShell:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Eis um exemplo:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Neste exemplo:

  • A address configuração pode ser um nome de servidor resolúvel por DNS ou um endereço IPv4.
  • Você pode omitir port. Se você fizer isso, 443 é a porta padrão.

Limpar a configuração de proxy existente

Pode limpar a configuração de proxy existente ao executar o seguinte comando:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Ler as definições de proxy atuais

Você pode ler as configurações de proxy atuais executando o seguinte comando:

Get-MicrosoftEntraConnectHealthProxySettings

Testar a conectividade com o serviço Microsoft Entra Connect Health

Ocasionalmente, o agente Microsoft Entra Connect Health perde a conectividade com o serviço Microsoft Entra Connect Health. As causas dessa perda de conectividade podem incluir problemas de rede, problemas de permissões e vários outros problemas.

Se o agente não puder enviar dados para o serviço Microsoft Entra Connect Health por mais de duas horas, o seguinte alerta será exibido no portal: Os dados do Serviço de Saúde não estão atualizados.

Você pode descobrir se o agente afetado do Microsoft Entra Connect Health pode carregar dados para o serviço Microsoft Entra Connect Health executando o seguinte comando do PowerShell:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Atualmente Role , o parâmetro usa os seguintes valores:

  • ADFS
  • Sync
  • ADDS

Nota

Para usar a ferramenta de conectividade, você deve primeiro registrar o agente. Se não conseguir concluir o registo do agente, certifique-se de que cumpre todos os requisitos para o Microsoft Entra Connect Health. A conectividade é testada por padrão durante o registro do agente.

Próximos passos

Confira os seguintes artigos relacionados: