Microsoft Entra Connect Health aracılarını yükleme

Bu makalede, Microsoft Entra Connect Health aracılarını yüklemeyi ve yapılandırmayı öğreneceksiniz.

Aracıları indirmeyi öğrenin.

Not

Microsoft Entra Connect Health, Çin bağımsız bulutunda kullanılamaz.

Gereksinim -leri

Aşağıdaki tabloda Microsoft Entra Connect Health'i kullanma gereksinimleri listelanmaktadır:

Gereksinim Açıklama
Microsoft Entra Id P1 veya P2 aboneliğiniz var. Microsoft Entra Connect Health, Microsoft Entra ID P1 veya P2'nin bir özelliğidir. Daha fazla bilgi için bkz . Microsoft Entra ID P1 veya P2 için kaydolma.

30 günlük ücretsiz bir deneme sürümü başlatmak için bkz . Denemeyi başlatma.
Microsoft Entra Id'de Genel Yöneticisiniz. Şu anda yalnızca Genel Yönetici hesapları sistem durumu aracılarını yükleyebilir ve yapılandırabilir. Daha fazla bilgi için bkz . Microsoft Entra dizininizi yönetme.

Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak kuruluşunuzdaki diğer kullanıcıların Microsoft Entra Connect Health'e erişmesine izin vekleyebilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Connect Health için Azure RBAC.

Önemli: Aracıları yüklemek için bir iş veya okul hesabı kullanın. Aracıları yüklemek için Microsoft hesabı kullanamazsınız. Daha fazla bilgi için bkz . Azure'a kuruluş olarak kaydolma.
Microsoft Entra Connect Health aracısı hedeflenen her sunucuya yüklenir. Sistem durumu aracılarının, veri alabilmesi ve izleme ve analiz özellikleri sağlayabilmesi için hedeflenen sunuculara yüklenmesi ve yapılandırılması gerekir.

Örneğin, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) altyapınızdan veri almak için aracıyı AD FS sunucusuna ve Web Uygulama Ara Sunucusu sunucusuna yüklemeniz gerekir. Benzer şekilde, şirket içi AD Etki Alanı Hizmetleri altyapınızdan veri almak için aracıyı etki alanı denetleyicilerine yüklemeniz gerekir.
Azure hizmet uç noktalarının giden bağlantısı vardır. Yükleme ve çalışma zamanı sırasında aracı, Microsoft Entra Connect Health hizmet uç noktalarına bağlantı gerektirir. Güvenlik duvarları giden bağlantıyı engelliyorsa, giden bağlantı uç noktalarını bir izin verilenler listesine ekleyin.
Giden bağlantı IP adreslerini temel alır. IP adreslerine göre güvenlik duvarı filtreleme hakkında bilgi için bkz . Azure IP aralıkları.
Giden trafik için TLS denetimi filtrelenmiş veya devre dışı bırakılmış. Ağ katmanında giden trafik için TLS incelemesi veya sonlandırması varsa aracı kayıt adımı veya veri yükleme işlemleri başarısız olabilir. Daha fazla bilgi için bkz . TLS incelemesini ayarlama.
Sunucudaki güvenlik duvarı bağlantı noktaları aracıyı çalıştırıyor. Aracı, Microsoft Entra Connect Health hizmet uç noktalarıyla iletişim kurabilmesi için aşağıdaki güvenlik duvarı bağlantı noktalarının açık olmasını gerektirir:
- TCP bağlantı noktası 443
- TCP bağlantı noktası 5671

Aracının en son sürümü için 5671 numaralı bağlantı noktası gerekmez. Yalnızca 443 numaralı bağlantı noktasının gerekli olması için en son sürüme yükseltin. Daha fazla bilgi için bkz . Karma kimlik için gerekli bağlantı noktaları ve protokoller.
Internet Explorer gelişmiş güvenliği etkinleştirildiyse, belirtilen web sitelerine izin verin. Internet Explorer gelişmiş güvenliği etkinleştirildiyse aracıyı yüklediğiniz sunucuda aşağıdaki web sitelerine izin verin:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
- Kuruluşunuzun Microsoft Entra Id (örneğin, https://sts.contoso.com) tarafından güvenilen federasyon sunucusu.

Daha fazla bilgi için bkz . Internet Explorer'ı yapılandırma. Ağınızda bir ara sunucu varsa, bu tablonun sonunda görüntülenen nota bakın.
PowerShell sürüm 5.0 veya üzeri yüklüdür. Windows Server 2016, PowerShell sürüm 5.0'a sahiptir.

Önemli

Windows Server Core, Microsoft Entra Connect Health aracısını yüklemeyi desteklemez.

Not

Yüksek düzeyde kilitli ve kısıtlı bir ortamınız varsa, Internet Explorer gelişmiş güvenliği için tablo listelerinde yer alan URL'lerden daha fazla URL eklemeniz gerekir. Ayrıca, sonraki bölümde tabloda listelenen URL'leri de ekleyin.

Önemli

Microsoft Entra Connect Sync'i karma yönetici rolüne sahip bir hesap kullanarak yüklediyseniz, aracı devre dışı durumda olur. Aracıyı etkinleştirmek için genel yönetici olan bir hesabı kullanarak aracıyı yeniden yüklemeniz gerekir.

Aracının yeni sürümleri ve otomatik yükseltme

Sistem durumu aracısının yeni bir sürümü yayınlanırsa, mevcut, yüklü aracılar otomatik olarak güncelleştirilir.

Azure hizmet uç noktalarına giden bağlantı

Yükleme ve çalışma zamanı sırasında aracının Microsoft Entra Connect Health hizmet uç noktalarına bağlanması gerekir. Güvenlik duvarları giden bağlantıyı engelliyorsa, aşağıdaki tablodaki URL'lerin varsayılan olarak engellenmediğinden emin olun.

Bu URL'lerin güvenlik izlemesini veya denetimini devre dışı bırakma. Bunun yerine, diğer internet trafiğine izin vereceğiniz şekilde izin verin.

Bu URL'ler Microsoft Entra Connect Health hizmet uç noktalarıyla iletişime olanak sağlar. Bu makalenin ilerleyen bölümlerinde kullanarak Test-MicrosoftEntraConnectHealthConnectivitygiden bağlantıyı denetlemeyi öğreneceksiniz.

Etki alanı ortamı Gerekli Azure hizmet uç noktaları
Genel genel - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Bağlantı noktası: 5671 (5671 engellenirse aracı 443'e geri döner, ancak 5671 numaralı bağlantı noktasını kullanmanızı öneririz. Bu uç nokta aracının en son sürümünde gerekli değildir.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Bu uç nokta yalnızca kayıt sırasında bulma amacıyla kullanılır.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Kamu - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Bu uç nokta yalnızca kayıt sırasında bulma amacıyla kullanılır.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Aracıları indirme

Microsoft Entra Connect Health aracısını indirmek ve yüklemek için:

  • Microsoft Entra Connect Health yükleme gereksinimlerini karşıladığınızdan emin olun.
  • AD FS için Microsoft Entra Connect Health'i kullanmaya başlayın:
    • AD FS için Microsoft Entra Connect Health aracısını indirin.
    • Yükleme yönergelerine bakın.
  • Eşitleme için Microsoft Entra Connect Health'i kullanmaya başlayın:
    • Microsoft Entra Connect'in en son sürümünü indirin ve yükleyin. Eşitleme için sistem durumu aracısı, Microsoft Entra Connect yüklemesinin (sürüm 1.0.9125.0 veya üzeri) bir parçası olarak yüklenir.
  • AD Etki Alanı Hizmetleri için Microsoft Entra Connect Health'i kullanmaya başlayın:

AD FS için aracıyı yükleme

AD FS'yi Microsoft Entra Connect Health aracısı ile yükleme ve izleme hakkında bilgi için bkz . AD FS için Microsoft Entra Connect Health aracıları.

Eşitleme için aracıyı yükleme

Eşitleme için Microsoft Entra Connect Health aracısı, Microsoft Entra Connect'in en son sürümünde otomatik olarak yüklenir. Eşitleme için Microsoft Entra Connect'i kullanmak için Microsoft Entra Connect'in en son sürümünü indirin ve yükleyin.

Aracının yüklendiğini doğrulamak için sunucuda aşağıdaki hizmetleri arayın. Yapılandırmayı tamamladıysanız, hizmetler zaten çalışıyor olmalıdır. Aksi takdirde, yapılandırma tamamlanana kadar hizmetler durdurulur.

  • Microsoft Entra Connect Aracısı Güncelleştiricisi
  • Microsoft Entra Connect Health Agent

Sunucudaki eşitleme hizmetleri için çalışan Microsoft Entra Connect Health'i gösteren ekran görüntüsü.

Not

Microsoft Entra Connect Health'i kullanmak için Microsoft Entra ID P1 veya P2'ye sahip olmanız gerektiğini unutmayın. Microsoft Entra Id P1 veya P2'niz yoksa, Microsoft Entra yönetim merkezinde yapılandırmayı tamamlayamazsınız. Daha fazla bilgi için gereksinimlere bakın.

Microsoft Entra Connect Health'i eşitleme için el ile kaydetme

Microsoft Entra Connect'i başarıyla yükledikten sonra eşitleme aracısı kaydı için Microsoft Entra Connect Health başarısız olursa, aracıyı el ile kaydetmek için bir PowerShell komutu kullanabilirsiniz.

Önemli

Bu PowerShell komutunu yalnızca Microsoft Entra Connect'i yükledikten sonra aracı kaydı başarısız olursa kullanın.

Aşağıdaki PowerShell komutunu kullanarak Microsoft Entra Connect Health aracısını eşitleme için el ile kaydedin. Microsoft Entra Connect Health hizmetleri, aracı başarıyla kaydedildikten sonra başlar.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Komut aşağıdaki parametreleri alır:

  • AttributeFiltering: $true (varsayılan) Microsoft Entra Connect varsayılan öznitelik kümesini eşitlemiyorsa ve filtrelenmiş öznitelik kümesini kullanacak şekilde özelleştirilmişse. Aksi takdirde kullanın $false.
  • StagingMode: $false (varsayılan) Microsoft Entra Connect sunucusu hazırlama modunda değilse . Sunucu hazırlama modunda olacak şekilde yapılandırılmışsa kullanın $true.

Kimlik doğrulaması istendiğinde, Microsoft Entra Connect'i yapılandırmak için kullandığınız Genel Yönetici hesabını (örneğin admin@domain.onmicrosoft.com) kullanın.

AD Etki Alanı Hizmetleri için aracıyı yükleme

Aracı yüklemesini başlatmak için indirdiğiniz .exe dosyasına çift tıklayın. İlk pencerede Yükle'yi seçin.

AD DS için Microsoft Entra Connect Health aracısını yükleme penceresini gösteren ekran görüntüsü.

İstendiğinde, aracıyı kaydetme izinlerine sahip bir Microsoft Entra hesabı kullanarak oturum açın. Varsayılan olarak, Karma Kimlik Yöneticisi hesabının izinleri vardır.

Microsoft Entra Connect Health AD DS için oturum açma penceresini gösteren ekran görüntüsü.

Oturum açıldıktan sonra yükleme işlemi tamamlanır ve pencereyi kapatabilirsiniz.

Microsoft Entra Connect Health AD DS aracı yüklemesi için onay iletisini gösteren ekran görüntüsü.

Bu noktada aracı hizmetleri, aracının gerekli verileri bulut hizmetine güvenli bir şekilde yüklemesine otomatik olarak izin vermeye başlamalıdır.

Aracının yüklendiğini doğrulamak için sunucuda aşağıdaki hizmetleri arayın. Yapılandırmayı tamamladıysanız, bunların zaten çalışıyor olması gerekir. Aksi takdirde, yapılandırma tamamlanana kadar durdurulurlar.

  • Microsoft Entra Connect Aracısı Güncelleştiricisi
  • Microsoft Entra Connect Health Agent

Microsoft Entra Connect Health AD DS hizmetlerini gösteren ekran görüntüsü.

Aracıyı birden çok sunucuya hızla yükleme

  1. Microsoft Entra Id'de bir kullanıcı hesabı oluşturun. Parola kullanarak hesabın güvenliğini sağlayın.

  2. Portalı kullanarak Microsoft Entra Connect Health'te bu yerel Microsoft Entra hesabı için Sahip rolünü atayın. Rolü tüm hizmet örneklerine atayın.

  3. Yükleme için yerel etki alanı denetleyicisindeki .exe MSI dosyasını indirin.

  4. Aşağıdaki betiği çalıştırın. Parametreleri yeni kullanıcı hesabınızla ve parolasıyla değiştirin.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

bitirdiğinizde, aşağıdaki görevlerden birini veya daha fazlasını tamamlayarak yerel hesap erişimini kaldırabilirsiniz:

  • Microsoft Entra Connect Health için yerel hesabın rol atamasını kaldırın.
  • Yerel hesabın parolasını döndürün.
  • Microsoft Entra yerel hesabını devre dışı bırakın.
  • Microsoft Entra yerel hesabını silin.

PowerShell kullanarak aracıyı kaydetme

İlgili aracı setup.exe dosyasını yükledikten sonra, role bağlı olarak aşağıdaki PowerShell komutlarını kullanarak aracıyı kaydedebilirsiniz. PowerShell'i yönetici olarak açın ve ilgili komutu çalıştırın:

Register-MicrosoftEntraConnectHealthAgent

Not

Bağımsız bulutlara kaydolmak için aşağıdaki komut satırlarını kullanın:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Bu komutlar, kaydı etkileşimli olmayan bir şekilde tamamlamak veya Server Core çalıştıran bir bilgisayarda kaydı tamamlamak için parametre olarak kabul Credential edin. Şu faktörleri göz önünde bulundurun:

  • Parametre olarak geçirilen bir PowerShell değişkeninde yakalayabilirsiniz Credential .
  • Aracıları kaydetme izinleri olan ve çok faktörlü kimlik doğrulaması etkin olmayan herhangi bir Microsoft Entra kimliği sağlayabilirsiniz.
  • Varsayılan olarak, Genel Yöneticiler aracıları kaydetme izinlerine sahiptir. Bu adımı daha az ayrıcalıklı kimliklerin gerçekleştirmesine de izin vekleyebilirsiniz. Daha fazla bilgi için bkz . Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Microsoft Entra Connect Health aracılarını HTTP ara sunucusunu kullanacak şekilde yapılandırma

Microsoft Entra Connect Health aracılarını bir HTTP ara sunucusuyla çalışacak şekilde yapılandırabilirsiniz.

Not

  • Netsh WinHttp set ProxyServerAddress desteklenmez. Aracı, web isteğinde bulunmak için Windows HTTP Hizmetleri yerine System.Net kullanır.
  • Yapılandırılan HTTP proxy adresi, şifrelenmiş HTTPS iletilerini geçirmek için kullanılır.
  • Kimliği doğrulanmış proxy'ler (HTTPBasic kullanılarak) desteklenmez.

Aracı proxy yapılandırmasını değiştirme

Microsoft Entra Connect Health aracısını http ara sunucusu kullanacak şekilde yapılandırmak için şunları yapabilirsiniz:

  • Mevcut ara sunucu ayarlarını içeri aktar.
  • Ara sunucu adreslerini el ile belirtin.
  • Mevcut proxy yapılandırmasını temizleyin.

Not

Ara sunucu ayarlarını güncelleştirmek için tüm Microsoft Entra Connect Health aracı hizmetlerini yeniden başlatmanız gerekir. Tüm aracıları yeniden başlatmak için aşağıdaki komutu çalıştırın:

Restart-Service AzureADConnectHealthAgent*

Mevcut ara sunucu ayarlarını içeri aktarma

Microsoft Entra Connect Health aracılarının ayarları kullanabilmesi için Internet Explorer HTTP proxy ayarlarını içeri aktarabilirsiniz. Sistem durumu aracısını çalıştıran sunucuların her birinde aşağıdaki PowerShell komutunu çalıştırın:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

WinHTTP proxy ayarlarını içeri aktararak Microsoft Entra Connect Health aracılarının bunları kullanabilmesini sağlayabilirsiniz. Sistem durumu aracısını çalıştıran sunucuların her birinde aşağıdaki PowerShell komutunu çalıştırın:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ara sunucu adreslerini el ile belirtme

Bir ara sunucuyu el ile belirtebilirsiniz. Sistem durumu aracısını çalıştıran sunucuların her birinde aşağıdaki PowerShell komutunu çalıştırın:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

İşte bir örnek:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

Bu örnekte:

  • Ayar address , DNS tarafından çözümlenebilir bir sunucu adı veya IPv4 adresi olabilir.
  • atlayabilirsiniz port. Bunu yaparsanız, varsayılan bağlantı noktası 443'dür.

Mevcut ara sunucu yapılandırmasını temizleme

Aşağıdaki komutu çalıştırarak mevcut proxy yapılandırmasını temizleyebilirsiniz:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Geçerli proxy ayarlarını okuma

Aşağıdaki komutu çalıştırarak geçerli proxy ayarlarını okuyabilirsiniz:

Get-MicrosoftEntraConnectHealthProxySettings

Microsoft Entra Connect Health hizmetine bağlantıyı test etme

Bazen, Microsoft Entra Connect Health aracısı Microsoft Entra Connect Health hizmetiyle bağlantıyı kaybeder. Bu bağlantı kaybının nedenleri arasında ağ sorunları, izin sorunları ve diğer çeşitli sorunlar yer alabilir.

Aracı iki saatten uzun süre Microsoft Entra Connect Health hizmetine veri gönderemezse portalda şu uyarı görüntülenir: Sistem Sağlığı Hizmeti veriler güncel değildir.

Etkilenen Microsoft Entra Connect Health aracısının aşağıdaki PowerShell komutunu çalıştırarak Microsoft Entra Connect Health hizmetine veri yükleyip yükleyemeyeceğini öğrenebilirsiniz:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Role parametresi şu anda aşağıdaki değerleri alır:

  • ADFS
  • Sync
  • ADDS

Not

Bağlantı aracını kullanmak için önce aracıyı kaydetmeniz gerekir. Aracı kaydını tamamlayamazsanız Microsoft Entra Connect Health için tüm gereksinimleri karşıladığınızdan emin olun. Bağlantı, aracı kaydı sırasında varsayılan olarak test edilir.

Sonraki adımlar

Aşağıdaki ilgili makalelere göz atın: