安裝 Microsoft Entra Connect Health 代理程式
在本文中,您會了解如何安裝及設定 Microsoft Entra Connect Health 代理程式。
了解如何下載代理程式。
注意
中國主權雲端不提供 Microsoft Entra Connect Health。
需求
下表列出使用 Microsoft Entra Connect Health 的需求:
| 需求 | 描述 |
|---|---|
| 您具有 Microsoft Entra ID P1 或 P2 訂用帳戶。 | Microsoft Entra Connect Health 是 Microsoft Entra ID P1 或 P2 的功能。 若要了解詳細資訊,請參閱<註冊 Microsoft Entra ID P1 或 P2>(機器翻譯)。 若要開始使用 30 天免費試用版,請參閱開始使用試用版。 |
| 您是 Microsoft Entra ID 中的全域系統管理員。 | 目前,只有全域系統管理員帳戶可以安裝及設定健康情況代理程式。 若要了解詳細資訊,請參閱<管理您的 Microsoft Entra 目錄>(機器翻譯)。 藉由使用 Azure 角色型存取控制 (Azure RBAC),您可以讓組織中的其他使用者存取 Microsoft Entra Connect Health。 若要了解詳細資訊,請參閱<適用於 Microsoft Entra Connect Health 的 Azure RBAC>。 重要:使用公司或學校帳戶來安裝代理程式。 您無法使用 Microsoft 帳戶來安裝代理程式。 若要了解詳細資訊,請參閱<以組織身分註冊 Azure>。 |
| Microsoft Entra Connect Health 代理程式已安裝在每個目標伺服器上。 | 您必須在目標伺服器上安裝和設定 Health 代理程式,才能接收資料及提供監視和分析功能。 例如,若要從 Active Directory 同盟服務 (AD FS) 基礎結構取得資料,您必須在 AD FS 伺服器和 Web 應用程式 Proxy 伺服器上安裝代理程式。 同樣地,若要從內部部署 AD Domain Services 基礎結構取得資料,則必須在網域控制站上安裝代理程式。 |
| Azure 服務端點有輸出連線。 | 在安裝期間和執行階段,代理程式需要連線至 Microsoft Entra Connect Health service 服務端點。 如果防火牆封鎖輸出連線能力,請將輸出連線端點新增至允許清單。 |
| 輸出連線是以 IP 位址為基礎。 | 若要了解以 IP 位址為基礎的防火牆篩選詳細資訊,請參閱<Azure IP 範圍>。 |
| 傳出流量的 TLS 檢查已經過篩選或已停用。 | 如果網路層的輸出流量有 TLS 檢查或終止,代理程式註冊步驟或資料上傳作業可能會失敗。 若要了解詳細資訊,請參閱<設定 TLS 檢查>。 |
| 伺服器上的防火牆連接埠正執行代理程式。 | 代理程式要求開啟下列防火牆連接埠,以便與 Microsoft Entra Connect Health 服務端點進行通訊: – TCP 通訊埠 443 – TCP 通訊埠 5671 最新版本的代理程式不需要連接埠 5671。 請升級至最新版本,如此一來便僅需要連接埠 443。 若要了解詳細資訊,請參閱<混合式身分識別所需的連接埠和通訊協定>。 |
| 如果已啟用 Internet Explorer 增強的安全性,則允許指定的網站。 | 如果已啟用 Internet Explorer 增強的安全性,請在您安裝代理程式的伺服器上允許下列網站: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net – Microsoft Entra ID 信任的組織同盟伺服器 (例如 https://sts.contoso.com)。 若要了解詳細資訊,請參閱<如何設定 Internet Explorer>。 如果您的網路中有 Proxy,請查看此資料表結尾顯示的備註。 |
| 已安裝 PowerShell 5.0 或更新版本。 | Windows Server 2016 包括 PowerShell 5.0 版。 |
重要
Windows Server Core 不支援安裝 Microsoft Entra Connect Health 代理程式。
注意
如果您有高度鎖定和受限的環境,則必須新增比表格清單為 Internet Explorer 增強的安全性所列更多的網址。 同時新增在下一節資料表中列出的網址。
重要
如果您使用具有混合式系統管理員角色的帳戶安裝 Microsoft Entra Connect Sync,代理程式將會處於停用狀態。 若要啟用代理程式,您必須使用全域系統管理員的帳戶來重新安裝代理程式。
新版本的代理程式和自動升級
如果發行新版本的健康情況代理程式,任何現有的已安裝代理程式都會自動更新。
Azure 服務端點的輸出連線
在安裝期間和執行階段,代理程式必須連線至 Microsoft Entra Connect Health 服務端點。 如果防火牆封鎖輸出連線能力,請確定下表中的網址不會預設遭到封鎖。
請勿停用這些網址的安全性監視或檢查。 而是允許這些網址,因為您要允許其他網際網路流量。
這些網址允許與 Microsoft Entra Connect Health 服務端點進行通訊。 在本文稍後的部分中,您會了解如何藉由使用 Test-MicrosoftEntraConnectHealthConnectivity 來檢查輸出連線能力。
| 網域環境 | 必要 Azure 服務端點 |
|---|---|
| 一般公用 | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net – 連接埠:5671 (如果封鎖 5671,則代理程式會回復至 443,但建議您使用連接埠 5671。在最新版本的代理程式中,不需要此端點。)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點在註冊期間僅用於探索目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (此端點在註冊期間僅用於探索目的。)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
下載代理程式
若要下載並安裝 Microsoft Entra Connect Health 代理程式:
- 確定您符合安裝 Microsoft Entra Connect Health 的需求。
- 開始使用適用於 AD FS 的 Microsoft Entra Connect Health:
- 開始使用 Microsoft Entra Connect Health 進行同步處理:
- 下載並安裝最新版本的 Microsoft Entra Connect (英文)。 適用於同步處理的健康情況代理程式會在 Microsoft Entra Connect 安裝 (1.0.9125.0 版或更新版本) 過程中一起安裝。
- 開始使用適用於 AD Domain Services 的 Microsoft Entra Connect Health:
安裝 AD FS 的代理程式
若要了解使用 Microsoft Entra Connect Health 代理程式安裝及監視 AD FS 的相關資訊,請參閱<適用於 AD FS 的 Microsoft Entra Connect Health 代理程式>。
安裝代理程式進行同步處理
最新版本的 Microsoft Entra Connect 會自動安裝用於同步處理的 Microsoft Entra Connect Health 代理程式。 若要使用 Microsoft Entra Connect 進行同步處理,請下載最新版的 Microsoft Entra Connect (英文) 並加以安裝。
若要確認代理程式已安裝,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra Connect 代理程式更新程式
- Microsoft Entra Connect Health 代理程式
注意
請記住,您必須具備 Microsoft Entra ID P1 或 P2,才能使用 Microsoft Entra Connect Health。 如果您沒有 Microsoft Entra ID P1 或 P2,則無法在 Microsoft Entra 系統管理中心完成設定。 若要了解詳細資訊,請參閱<需求>。
手動註冊適用於同步處理的 Microsoft Entra Connect Health
如果在您成功安裝 Microsoft Entra Connect 後,適用於同步處理的 Microsoft Entra Connect Health 代理程式註冊失敗,您可以使用 PowerShell 命令來手動註冊該代理程式。
重要
只有在您安裝 Microsoft Entra Connect 之後發生代理程式註冊失敗時,才能使用此 PowerShell 命令。
使用下列 PowerShell 命令,手動註冊適用於同步處理的 Microsoft Entra Connect Health 代理程式。 Microsoft Entra Connect Health 服務會在代理程式註冊成功後啟動。
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
此命令採用下列參數:
AttributeFiltering:$true(預設) 如果 Microsoft Entra Connect 並未同步處理預設屬性集,且已自訂為使用已篩選的屬性集。 否則,請使用$false。StagingMode:$false(預設) 如果 Microsoft Entra Connect 伺服器不是處於檢閱及測試模式。 如果伺服器設定為檢閱及測試模式,請使用$true。
當系統提示您進行驗證時,請使用您用來設定 Microsoft Entra Connect 的相同全域系統管理員帳戶 (例如 admin@domain.onmicrosoft.com)。
安裝 AD Domain Services 的代理程式
若要啟動代理程式安裝,請按兩下您所下載的 .exe 檔案。 在第一個視窗中,選取 [安裝]。
出現提示時,使用具有代理程式註冊權限的 Microsoft Entra 帳戶來登入。 根據預設,混合式身分識別系統管理員帳戶具有權限。
登入之後,安裝流程隨即完成,而您可以關閉視窗。
此時,系統應該會自動啟動代理程式服務,讓代理程式將必要資料安全上傳至雲端服務。
若要驗證已安裝代理程式,請在伺服器上尋找下列服務。 如果您已完成設定,這些服務應該已在執行中。 否則,服務會停止,直到設定完成為止。
- Microsoft Entra Connect 代理程式更新程式
- Microsoft Entra Connect Health 代理程式
在多部伺服器上快速安裝代理程式
在 Microsoft Entra ID 中建立使用者帳戶。 使用密碼保護帳戶。
使用入口網站,在 Microsoft Entra Connect Health 中為這個本機 Microsoft Entra 帳戶指派擁有者角色。 將角色指派給所有服務執行個體。
下載本機網域控制站中的 .exe MSI 檔案以進行安裝。
執行下列指令碼。 將參數取代為新的使用者帳戶及其密碼。
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
當您完成時,您可以完成下列一或多項工作,以移除本機帳戶的存取權:
- 針對 Microsoft Entra Connect Health 的本機帳戶,移除角色指派。
- 針對本機帳戶輪替密碼。
- 停用 Microsoft Entra 本機帳戶。
- 刪除 Microsoft Entra 本機帳戶。
使用 PowerShell 註冊代理程式
在您安裝相關的代理程式 setup.exe 檔案之後,視角色而定,您可以使用下列 PowerShell 命令來註冊代理程式。 以系統管理員身分開啟 PowerShell,並執行相關命令:
Register-MicrosoftEntraConnectHealthAgent
注意
若要對主權雲端進行註冊,請使用下列命令列:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
這些命令接受 Credential 作為參數,不需互動即可完成註冊,或是在執行 Server Core 的電腦上完成註冊。 請記住這些因素:
- 您可以在以參數形式傳遞的 PowerShell 變數中擷取
Credential。 - 您可以提供具有註冊代理程式權限,以及未啟用多重要素驗證的任何 Microsoft Entra 身分識別。
- 根據預設,全域系統管理員具有註冊代理程式的權限。 您也可以允許較低權限的身分識別來執行此步驟。 若要了解詳細資訊,請參閱<Azure RBAC>(機器翻譯)。
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
設定 Microsoft Entra Connect Health 代理程式使用 HTTP Proxy
您可以設定 Microsoft Entra Connect Health 代理程式使用 HTTP Proxy。
注意
- 不支援
Netsh WinHttp set ProxyServerAddress。 代理程式會使用 System.Net,而不是 Windows HTTP 服務來提出網頁要求。 - 設定的 HTTP Proxy 位址會用來傳遞加密的 HTTPS 訊息。
- 不支援已驗證的 Proxy (使用 HTTPBasic)。
變更代理程式 Proxy 設定
若要設定 Microsoft Entra Connect Health 代理程式使用 HTTP Proxy,您可以:
- 匯入現有的 Proxy 設定。
- 以手動方式指定 Proxy 位址。
- 清除現有的 Proxy 設定。
注意
若要更新 Proxy 設定,您必須重新啟動所有 Microsoft Entra Connect Health 代理程式服務。 若要重新啟動所有代理程式,請執行下列命令:
Restart-Service AzureADConnectHealthAgent*
匯入現有的 Proxy 設定
您可以匯入 Internet Explorer HTTP Proxy 設定,讓 Microsoft Entra Connect Health 代理程式可以使用這些設定。 在每部執行健康情況代理程式的伺服器上,執行下列 PowerShell 命令︰
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
您可以匯入 WinHTTP Proxy 設定,讓 Microsoft Entra Connect Health 代理程式可以使用這些設定。 在每部執行健康情況代理程式的伺服器上,執行下列 PowerShell 命令︰
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
以手動方式指定 Proxy 位址
您可以手動指定 Proxy 伺服器。 在每部執行健康情況代理程式的伺服器上,執行下列 PowerShell 命令︰
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
以下是範例:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
在此範例中:
address設定可以是可解析的 DNS 伺服器名稱或 IPv4 位址。- 您可以省略
port。 如果您這麼做,443 是預設連接埠。
清除現有的 Proxy 設定
您可以執行下列命令來清除現有的 Proxy 設定:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
讀取目前的 Proxy 設定
您可以執行下列命令來讀取目前的 Proxy 設定:
Get-MicrosoftEntraConnectHealthProxySettings
測試與 Microsoft Entra Connect Health 服務的連線
有時候,Microsoft Entra Connect Health 代理程式與 Microsoft Entra Connect Health 服務可能會中斷連線。 造成此連線中斷的原因包括網路問題、權限問題和其他各種問題。
如果代理程式無法將資料傳送給 Microsoft Entra Connect Health 服務達兩小時以上,入口網站中會出現下列警示:健全狀況服務資料不是最新資料。
您可以執行下列 PowerShell 命令,藉此確認受影響的 Microsoft Entra Connect Health 代理程式是否能將資料上傳至 Microsoft Entra Connect Health 服務:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Role 參數目前可接受下列值:
ADFSSyncADDS
注意
若要使用連線能力工具,您必須先註冊代理程式。 如果您無法完成代理程式註冊,請確認是否已符合 Microsoft Entra Connect Health 的所有需求。 預設會在代理程式註冊期間測試連線能力。
下一步
請參閱下列相關文章: