Installazione dell'agente di Azure AD Connect HealthAzure AD Connect Health Agent Installation

Questo documento illustra le procedure per installare e configurare l'agente di Azure AD Connect Health.This document walks you through installing and configuring the Azure AD Connect Health Agents. Gli agenti sono disponibili per il download in questa pagina.You can download the agents from here.

RequisitiRequirements

La tabella seguente è un elenco di requisiti per l'uso di Azure AD Connect Health.The following table is a list of requirements for using Azure AD Connect Health.

RequisitoRequirement DescrizioneDescription
Azure AD PremiumAzure AD Premium Azure AD Connect Health è una funzionalità di Azure AD Premium e richiede una licenza di Azure AD Premium.Azure AD Connect Health is an Azure AD Premium feature and requires Azure AD Premium.

Per ulteriori informazioni, vedere Introduzione a Azure ad PremiumFor more information, see Getting started with Azure AD Premium
Per ottenere una versione di valutazione gratuita valida 30 giorni, vedere la pagina relativa all'avvio di una versione di valutazione.To start a free 30-day trial, see Start a trial.
Per iniziare a usare Azure AD Connect Health, è necessario essere un amministratore globale dell'istanza di Azure AD.You must be a global administrator of your Azure AD to get started with Azure AD Connect Health Per impostazione predefinita, solo gli amministratori globali possono installare e configurare gli agenti per l'integrità per eseguire le operazioni iniziali, accedere al portale ed eseguire qualsiasi operazione in Azure AD Connect Health.By default, only the global administrators can install and configure the health agents to get started, access the portal, and perform any operations within Azure AD Connect Health. Per altre informazioni, vedere Amministrare la directory di Azure AD.For more information, see Administering your Azure AD directory.

Usando il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) è possibile consentire l'accesso Azure AD Connect Health ad altri utenti nell'organizzazione.Using Azure role-based access control (Azure RBAC) you can allow access to Azure AD Connect Health to other users in your organization. Per altre informazioni, vedere controllo degli accessi in base al ruolo di Azure (RBAC di Azure) per Azure ad Connect Health.For more information, see Azure role-based access control (Azure RBAC) for Azure AD Connect Health.

Importante: l'account usato per l'installazione degli agenti deve essere un account aziendale o dell'istituto di istruzione.Important: The account used when installing the agents must be a work or school account. Non può essere un account Microsoft.It cannot be a Microsoft account. Per altre informazioni, vedere iscrizione ad Azure come organizzazioneFor more information, see Sign up for Azure as an organization
L'agente di Azure AD Connect Health è installato in ogni server di destinazioneAzure AD Connect Health Agent is installed on each targeted server Azure AD Connect Health richiede l'installazione e la configurazione degli agenti per l'integrità nei server di destinazione per ricevere i dati e fornire le funzionalità di monitoraggio e di analisi.Azure AD Connect Health requires the Health Agents to be installed and configured on targeted servers to receive the data and provide the Monitoring and Analytics capabilities.

Per ottenere i dati sull'infrastruttura di AD FS, ad esempio, l'agente deve essere installato nei server AD FS e nei server proxy applicazione Web.For example, to get data from your AD FS infrastructure, the agent must be installed on the AD FS and Web Application Proxy servers. Analogamente, per poter ottenere i dati sull'infrastruttura locale di Servizi di dominio Active Directory, l'agente deve essere installato nei controller di dominio.Similarly, to get data on your on-premises AD DS infrastructure, the agent must be installed on the domain controllers.

Connettività in uscita agli endpoint di servizio di AzureOutbound connectivity to the Azure service endpoints Durante l'installazione e la fase di esecuzione, l'agente richiede la connettività agli endpoint di servizio di Azure AD Connect Health.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Se la connettività in uscita è bloccata tramite firewall, verificare che gli endpoint seguenti siano aggiunti all'elenco elementi consentiti.If outbound connectivity is blocked using Firewalls, ensure that the following endpoints are added to the allowed list. Vedere Endpoint di connettività in uscitaSee outbound connectivity endpoints
Connettività in uscita in base agli indirizzi IPOutbound connectivity based on IP Addresses Per informazioni sui filtri basati su indirizzo IP nei firewall, vedere Intervalli di indirizzi IP di Azure.For IP address based filtering on firewalls, refer to the Azure IP Ranges.
L'ispezione TLS per il traffico in uscita è filtrata o disabilitataTLS Inspection for outbound traffic is filtered or disabled Il passaggio di registrazione dell'agente o le operazioni di caricamento dei dati potrebbero non riuscire se è presente l'ispezione o la terminazione di TLS per il traffico in uscita a livello di rete.The agent registration step or data upload operations may fail if there is TLS inspection or termination for outbound traffic at the network layer. Altre informazioni su come configurare l'ispezione TLSRead more about how to setup TLS inspection
Porte del firewall nel server che esegue l'agenteFirewall ports on the server running the agent Per consentire la comunicazione dell'agente con gli endpoint di servizio Azure AD Connect Health è necessario che le porte del firewall seguenti siano aperte.The agent requires the following firewall ports to be open in order for the agent to communicate with the Azure AD Health service endpoints.

  • Porta TCP 443TCP port 443
  • Porta TCP 5671TCP port 5671

  • Si noti che la porta 5671 non è più necessaria per la versione più recente dell'agente.Note that port 5671 is no longer required for the latest version of agent. Eseguire l'aggiornamento alla versione più recente, in modo che sia necessaria solo la porta 443.Upgrade to the latest version so only port 443 is required. Vedere altre informazioni sull'abilitazione delle porte del firewallRead more about enable firewall ports
    Consentire i siti Web seguenti se è abilitata la funzionalità Protezione avanzata di IEAllow the following websites if IE Enhanced Security is enabled Se la funzionalità Sicurezza avanzata di Internet Explorer è abilitata, nel server in cui verrà installato l'agente devono essere consentiti i siti Web seguenti.If IE Enhanced Security is enabled, then the following websites must be allowed on the server that is going to have the agent installed.

  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • https: / /aadcdn.msftauth.NEThttps://aadcdn.msftauth.net
  • Server federativo dell'organizzazione considerato attendibile da Azure Active Directory.The federation server for your organization trusted by Azure Active Directory. Ad esempio: https://sts.contoso.comFor example: https://sts.contoso.com
  • Scopri di più su come configurare IE.Read more about how to configure IE. Se si dispone di un proxy all'interno della rete, vedere la nota riportata di seguito.In case you have a proxy within your network , please see note below.
    Assicurarsi che sia installato PowerShell v4.0 o versione successivaEnsure PowerShell v4.0 or newer is installed
  • Windows Server 2012 include PowerShell v3.0, che non è sufficiente per l'agente.Windows Server 2012 ships with PowerShell v3.0, which is insufficient for the agent.
  • Windows Server 2012 R2 e versioni successive includono una versione sufficientemente recente di PowerShell.Windows Server 2012 R2 and later ship with a sufficiently recent version of PowerShell.
  • Disabilitare FIPSDisable FIPS La funzionalità FIPS non è supportata dagli agenti di Azure AD Connect Health.FIPS is not supported by Azure AD Connect Health agents.

    Importante

    L'installazione dell'agente di Azure AD Connect Health in Windows Server Core non è supportata.Installing the Azure AD Connect Health agent on Windows Server Core is not supported.

    Nota

    Se si dispone di un ambiente con sicurezza elevata e con restrizioni, è necessario aggiungere gli URL indicati negli elenchi di endpoint di servizio riportati di seguito, oltre a quelli elencati nella configurazione di sicurezza avanzata di IE consentita sopra.If you have a highly locked-down and extremely restricted environment, you would require to add the URLs mentioned in the Service endpoint lists below in addition to the ones listed in the Allowed IE enhanced Security configuration above.

    Connettività in uscita agli endpoint di servizio di AzureOutbound connectivity to the Azure service endpoints

    Durante l'installazione e la fase di esecuzione, l'agente richiede la connettività agli endpoint di servizio di Azure AD Connect Health.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Se la connettività in uscita è bloccata tramite firewall, verificare che gli URL seguenti non siano bloccati per impostazione predefinita.If outbound connectivity is blocked using Firewalls, make sure that the following URLs are not blocked by default. Non disabilitare il monitoraggio della sicurezza o l'ispezione degli URL, ma consentire tali URL come si farebbe con il resto del traffico Internet.Do not disable security monitoring or inspection of these URLs, but allow them as you would other internet traffic. Essi consentono la comunicazione con gli endpoint di servizio di Azure AD Connect Health.They permit communication with Azure AD Connect Health service endpoints. Informazioni su come controllare la connettività in uscita con test-AzureADConnectHealthConnectivity.Learn how to check outbound connectivity with Test-AzureADConnectHealthConnectivity.

    Ambiente di dominioDomain Environment Endpoint del servizio di Azure richiestiRequired Azure service endpoints
    Pubblico generaleGeneral Public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *.aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *.servicebus.windows.net - Porta: 5671*.servicebus.windows.net - Port: 5671
  • *.adhybridhealth.azure.com/*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (questo endpoint viene usato solo per scopi di individuazione durante la registrazione).https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Azure GermaniaAzure Germany
  • *.blob.core.cloudapi.de*.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de*.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de (questo endpoint viene usato solo per scopi di individuazione durante la registrazione).https://www.office.de *this endpoint is only used for discovery purposes during registration.
  • Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (questo endpoint viene usato solo per scopi di individuazione durante la registrazione).https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Scaricare e installare l'agente di Azure AD Connect HealthDownload and install the Azure AD Connect Health Agent

    Installare l'agente di Azure AD Connect Health per AD FSInstalling the Azure AD Connect Health Agent for AD FS

    Nota

    Il server AD FS deve essere diverso dal server di sincronizzazione.AD FS server should be different from your Sync server. Non installare l'agente AD FS nel server di sincronizzazione.Do not install AD FS agent to your Sync server.

    Prima dell'installazione, assicurarsi che il nome host del server AD FS sia univoco e che non sia presente nel servizio AD FS.Before installation, make sure your AD FS server host name is unique and not present in the AD FS service. Per avviare l'installazione dell'agente, fare doppio clic sul file EXE scaricato.To start the agent installation, double-click the .exe file that you downloaded. Nella prima schermata fare clic su Installa.On the first screen, click Install.

    Avvio installazione Azure AD Connect Health AD FS

    Una volta completata l'installazione, fare clic su Configura ora.Once the installation is finished, click Configure Now.

    Fine dell'installazione di Azure AD Connect Health AD FS

    Viene visualizzata una finestra di PowerShell per l'avvio del processo di registrazione dell'agente.This launches a PowerShell window to initiate the agent registration process. Quando richiesto, accedere con un account Azure AD autorizzato ad eseguire la registrazione dell'agente.When prompted, sign in with an Azure AD account that has access to perform agent registration. Per impostazione predefinita, l'account Amministratore globale ha le autorizzazioni necessarie.By default the Global Admin account has access.

    Azure AD Connect Health AD FS configurare l'accesso

    Dopo l'accesso, PowerShell continuerà.After signing in, PowerShell will continue. Al termine, è possibile chiudere PowerShell e la configurazione sarà completa.Once it completes, you can close PowerShell and the configuration is complete.

    A questo punto, i servizi dell'agente vengono avviati automaticamente, consentendo all'agente di caricare i dati necessari nel servizio cloud in modo sicuro.At this point, the agent services should be started automatically allowing the agent upload the required data to the cloud service in a secure manner.

    Se non sono stati soddisfatti tutti i prerequisiti descritti nelle sezioni precedenti, vengono visualizzati avvisi nella finestra di PowerShell.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Assicurarsi di completare i requisiti prima di installare l'agente.Be sure to complete the requirements before installing the agent. La schermata seguente mostra un esempio di tali errori.The following screenshot is an example of these errors.

    Azure AD Connect Health AD FS configurare lo script

    Per verificare che l'agente sia stato installato, cercare i servizi seguenti nel server.To verify the agent has been installed, look for the following services on the server. Questi servizi dovrebbero essere già in esecuzione se la configurazione è stata completata.If you completed the configuration, they should already be running. In caso contrario, vengono arrestati fino al completamento della configurazione.Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health AD FS Diagnostics ServiceAzure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights ServiceAzure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring ServiceAzure AD Connect Health AD FS Monitoring Service

    Servizi di Azure AD Connect Health AD FS

    Abilitare il controllo per AD FSEnable Auditing for AD FS

    Nota

    Questa sezione si applica solo ai server AD FS.This section only applies to AD FS servers. Non è necessario eseguire questa procedura nei server del proxy dell'applicazione Web.You do not have to follow these steps on the Web Application Proxy Servers.

    Per poter usare questa funzionalità per raccogliere dati e analizzarli, l'agente di Azure AD Connect Health deve poter accedere alle informazioni presenti nei log di controllo di AD FS.In order for the Usage Analytics feature to gather and analyze data, the Azure AD Connect Health agent needs the information in the AD FS Audit Logs. Questi log non sono abilitati per impostazione predefinita.These logs are not enabled by default. Usare le procedure seguenti per abilitare il controllo di AD FS e individuare i log di controllo di AD FS nei server AD FS.Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs, on your AD FS servers.

    Per abilitare il controllo per ADFS in Windows Server 2012 R2To enable auditing for AD FS on Windows Server 2012 R2

    1. Per passare a Criteri di sicurezza locali, aprire Server Manager nella schermata Start oppure Server Manager nella barra delle applicazioni sul desktop e quindi fare clic su Strumenti/Criteri di sicurezza locali.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Passare alla cartella Impostazioni locali\Criteri locali\Assegnazione diritti utente e quindi fare doppio clic su Generazione di controlli di protezione.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Nella scheda Impostazioni di protezione locali verificare che sia elencato l'account del servizio ADFS.On the Local Security Setting tab, verify that the AD FS service account is listed. Se l'account non è presente, fare clic su Aggiungi utente o gruppo e aggiungerlo all'elenco, quindi fare clic su OK.If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. Per abilitare il controllo, aprire un prompt dei comandi con privilegi elevati ed eseguire questo comando: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enableTo enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Chiudere Criteri di sicurezza locali.Close Local Security Policy.
      -- La procedura seguente è necessaria solo per i server AD FS primari.-- The following steps are only required for primary AD FS servers. --
    6. Aprire lo snap-in Gestione AD FS facendo clic su Strumenti in Server Manager e quindi selezionando Gestione AD FS.Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. Nel riquadro Azioni fare clic su Modifica proprietà servizio federativo.In the Actions pane, click Edit Federation Service Properties.
    8. Nella finestra di dialogo Federation Service Properties fare clic sulla scheda Events.In the Federation Service Properties dialog box, click the Events tab.
    9. Selezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite e quindi fare clic su OK.Select the Success audits and Failure audits check boxes and then click OK.
    10. La registrazione dettagliata può essere abilitata tramite PowerShell usando il comando: Set-AdfsProperties -LOGLevel Verbose .Verbose logging can be enabled through powershell using the command: Set-AdfsProperties -LOGLevel Verbose.

    Per abilitare il controllo per AD FS in Windows Server 2016To enable auditing for AD FS on Windows Server 2016

    1. Per passare a Criteri di sicurezza locali, aprire Server Manager nella schermata Start oppure Server Manager nella barra delle applicazioni sul desktop e quindi fare clic su Strumenti/Criteri di sicurezza locali.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Passare alla cartella Impostazioni locali\Criteri locali\Assegnazione diritti utente e quindi fare doppio clic su Generazione di controlli di protezione.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Nella scheda Impostazioni di protezione locali verificare che sia elencato l'account del servizio ADFS.On the Local Security Setting tab, verify that the AD FS service account is listed. Se l'account non è presente, fare clic su Aggiungi utente o gruppo, quindi aggiungere l'account del servizio AD FS all'elenco e fare clic su OK.If it is not present, click Add User or Group and add the AD FS service account to the list, and then click OK.
    4. Per abilitare il controllo, aprire un prompt dei comandi con privilegi elevati ed eseguire questo comando: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enableTo enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Chiudere Criteri di sicurezza locali.Close Local Security Policy.
      -- La procedura seguente è necessaria solo per i server AD FS primari.-- The following steps are only required for primary AD FS servers. --
    6. Aprire lo snap-in Gestione AD FS facendo clic su Strumenti in Server Manager e quindi selezionando Gestione AD FS.Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. Nel riquadro Azioni fare clic su Modifica proprietà servizio federativo.In the Actions pane, click Edit Federation Service Properties.
    8. Nella finestra di dialogo Federation Service Properties fare clic sulla scheda Events.In the Federation Service Properties dialog box, click the Events tab.
    9. Selezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite e quindi fare clic su OK.Select the Success audits and Failure audits check boxes and then click OK. Questa opzione dovrebbe essere abilitata per impostazione predefinita.This should be enabled by default.
    10. Aprire una finestra di PowerShell ed eseguire il comando seguente: Set-AdfsProperties -AuditLevel Verbose.Open a PowerShell window and run the following command: Set-AdfsProperties -AuditLevel Verbose.

    Si noti che il livello di controllo "di base" è abilitato per impostazione predefinita.Note that "basic" audit level is enabled by default. Per altre informazioni, vedere Miglioramenti del controllo AD FS in Windows Server 2016Read more about the AD FS Audit enhancement in Windows Server 2016

    Per individuare i log di controllo di ADFSTo locate the AD FS audit logs

    1. Aprire Visualizzatore eventi.Open Event Viewer.

    2. Passare a Registri di Windows e selezionare Sicurezza.Go to Windows Logs and select Security.

    3. A destra fare clic su Filtra log correnti.On the right, click Filter Current Logs.

    4. In Origine evento selezionare Controllo di ADFS.Under Event Source, select AD FS Auditing.

      Vedere la nota nelle domande frequenti sui log di controllo.And quick FAQ note for Audit logs.

    Log di controllo di ADFS

    Avviso

    Un oggetto Criteri di gruppo può disabilitare il controllo di AD FS.A group policy can disable AD FS auditing. Se il controllo di AD FS è disabilitato, non sono disponibili i dati di analisi di utilizzo relativi alle attività di accesso.If AD FS auditing is disabled, usage analytics about login activities are not available. Assicurarsi che non siano presenti criteri di gruppo che disabilitano il controllo di AD FS.Ensure that you don’t have a group policy that disables AD FS auditing.>

    Installare l'agente di Azure AD Connect Health per la sincronizzazioneInstalling the Azure AD Connect Health agent for sync

    L'Agente di integrità di Azure AD Connect per la sincronizzazione è installato automaticamente nella build più recente di Azure AD Connect.The Azure AD Connect Health agent for sync is installed automatically in the latest build of Azure AD Connect. Per usare Azure AD Connect Health per la sincronizzazione, è necessario scaricare la versione più recente di Azure AD Connect e installarla.To use Azure AD Connect for sync, you need to download the latest version of Azure AD Connect and install it. È possibile scaricare la versione più recente qui.You can download the latest version here.

    Per verificare che l'agente sia stato installato, cercare i servizi seguenti nel server.To verify the agent has been installed, look for the following services on the server. Questi servizi dovrebbero essere già in esecuzione se la configurazione è stata completata.If you completed the configuration, they should already be running. In caso contrario, vengono arrestati fino al completamento della configurazione.Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health Sync Insights ServiceAzure AD Connect Health Sync Insights Service
    • Azure AD Connect Health Sync Monitoring ServiceAzure AD Connect Health Sync Monitoring Service

    Verificare Azure AD Connect Health per la sincronizzazione

    Nota

    Si tenga presente che l'utilizzo di integrità di Azure AD Connect richiede Azure AD Premium.Remember that using Azure AD Connect Health requires Azure AD Premium. Se non si ha Azure AD Premium, non è possibile completare la configurazione nel portale di Azure.If you do not have Azure AD Premium, you are unable to complete the configuration in the Azure portal. Per altre informazioni, vedere la sezione relativa ai requisiti.For more information, see the requirements page.

    Registrazione manuale di Azure AD Connect Health per la sincronizzazioneManual Azure AD Connect Health for Sync registration

    Se la registrazione dell'agente Azure AD Connect Health per la sincronizzazione non riesce pur dopo avere installato correttamente Azure AD Connect, è possibile usare il comando di PowerShell seguente per registrare manualmente l'agente.If the Azure AD Connect Health for Sync agent registration fails after successfully installing Azure AD Connect, you can use the following PowerShell command to manually register the agent.

    Importante

    È necessario usare questo comando di PowerShell solo se la registrazione dell'agente non riesce dopo avere installato Azure AD Connect.Using this PowerShell command is only required if the agent registration fails after installing Azure AD Connect.

    Il comando di PowerShell seguente è necessario SOLO quando la registrazione dell'agente per l'integrità non riesce anche se l'installazione e la configurazione di Azure AD Connect sono state eseguite correttamente.The following PowerShell command is required ONLY when the health agent registration fails even after a successful installation and configuration of Azure AD Connect. I servizi di Azure AD Connect Health verranno avviati dopo la corretta registrazione dell'agente.The Azure AD Connect Health services will start after the agent has been successfully registered.

    È possibile registrare manualmente l'agente Azure AD Connect Health per la sincronizzazione usando il comando di PowerShell seguente:You can manually register the Azure AD Connect Health agent for sync using the following PowerShell command:

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    Il comando accetta i parametri seguenti:The command takes following parameters:

    • AttributeFiltering: $true (impostazione predefinita) se Azure AD Connect non sincronizza il set di attributi predefiniti ed è stato personalizzato per usare un set di attributi filtrati,AttributeFiltering: $true (default) - if Azure AD Connect is not syncing the default attribute set and has been customized to use a filtered attribute set. $false in caso contrario.$false otherwise.
    • StagingMode: $false (impostazione predefinita) se il server Azure AD Connect NON è in modalità di staging, $true se il server è configurato per la modalità di staging.StagingMode: $false (default) - if the Azure AD Connect server is NOT in staging mode, $true if the server is configured to be in staging mode.

    Quando viene richiesta l'autenticazione, è consigliabile usare lo stesso account amministratore globale, ad esempio admin@domain.onmicrosoft.com, usato per configurare Azure AD Connect.When prompted for authentication you should use the same global admin account (such as admin@domain.onmicrosoft.com) that was used for configuring Azure AD Connect.

    Installazione dell'agente di Azure AD Connect Health per Servizi di dominio Active DirectoryInstalling the Azure AD Connect Health Agent for AD DS

    Per avviare l'installazione dell'agente, fare doppio clic sul file EXE scaricato.To start the agent installation, double-click the .exe file that you downloaded. Nella prima schermata fare clic su Installa.On the first screen, click Install.

    Avvio dell'installazione dell'agente Azure AD Connect Health per servizi di dominio Active Directory

    Una volta completata l'installazione, fare clic su Configura ora.Once the installation is finished, click Configure Now.

    Completamento dell'installazione di Azure AD Connect Health Agent per servizi di dominio Active Directory

    Viene avviato un prompt dei comandi seguito da codice PowerShell che esegue Register-AzureADConnectHealthADDSAgent.A command prompt is launched, followed by some PowerShell that executes Register-AzureADConnectHealthADDSAgent. Quando viene richiesto l'accesso ad Azure, effettuare l'accesso.When prompted to sign in to Azure, go ahead and sign in.

    Agente di Azure AD Connect Health per la configurazione dell'accesso AD DS

    Dopo l'accesso, PowerShell continuerà.After signing in, PowerShell will continue. Al termine, è possibile chiudere PowerShell e la configurazione sarà completa.Once it completes, you can close PowerShell and the configuration is complete.

    A questo punto, i servizi dovrebbero venire avviati automaticamente, consentendo all'agente di monitorare e raccogliere i dati.At this point, the services should be started automatically allowing the agent to monitor and gather data. Se non sono stati soddisfatti tutti i prerequisiti descritti nelle sezioni precedenti, vengono visualizzati avvisi nella finestra di PowerShell.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Assicurarsi di completare i requisiti prima di installare l'agente.Be sure to complete the requirements before installing the agent. La schermata seguente mostra un esempio di tali errori.The following screenshot is an example of these errors.

    Agente di Azure AD Connect Health per la configurazione di servizi di dominio Active Directory

    Per verificare che l'agente sia stato installato, cercare i servizi seguenti nel controller di dominio.To verify the agent has been installed, look for the following services on the domain controller.

    • Azure AD Connect Health AD DS Insights ServiceAzure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring ServiceAzure AD Connect Health AD DS Monitoring Service

    Se la configurazione è stata completata, questi servizi dovrebbero già essere in esecuzione.If you completed the configuration, these services should already be running. In caso contrario, vengono arrestati fino al completamento della configurazione.Otherwise, they are stopped until the configuration is complete.

    Agente di Azure AD Connect Health per servizi di servizi di dominio Active Directory

    Installazione rapida dell'agente in più serverQuick agent installation in multiple servers

    1. Creare un account utente in Azure AD con una password.Create a user account in Azure AD with a password.
    2. Assegnare il ruolo proprietario per l'account AAD locale in Azure ad Connect Health tramite il portale.Assign the Owner role for this local AAD account in Azure AD Connect Health via the portal. Seguire i passaggi qui.Follow the steps here. Assegnare il ruolo a tutte le istanze del servizio.Assign the role to all service instances.
    3. Scaricare il file MSI exe nel controller di dominio locale per l'installazione.Download the .exe MSI file in local domain controller for installation.
    4. Eseguire lo script seguente per la registrazione.Run the following script to registration. Sostituire i parametri con il nuovo account utente creato e la relativa password.Replace the parameters with the new user account created and its password.
    AdHealthAddsAgentSetup.exe /quiet
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
     
    Register-AzureADConnectHealthADDSAgent -Credential $myCreds
    
    
    1. Al termine, è possibile rimuovere l'accesso per l'account locale eseguendo una o più delle operazioni seguenti:Once you are done, you can remove access for the local account by doing one or more of the following:
      • Rimuovere l'assegnazione di ruolo per l'account locale per AAD Connect HealthRemove the role assignment for the local account for AAD Connect Health
      • Ruotare la password per l'account locale.Rotate the password for the local account.
      • Disabilitare l'account locale di AADDisable the AAD local account
      • Eliminare l'account locale di AADDelete the AAD local account

    Registrazione dell'agente tramite PowerShellAgent Registration using PowerShell

    Dopo l'installazione del file setup.exe appropriato per l'agente, è possibile eseguire il passaggio di registrazione dell'agente usando i comandi di PowerShell seguenti, in base al ruolo.After installing the appropriate agent setup.exe, you can perform the agent registration step using the following PowerShell commands depending on the role. Aprire una finestra di PowerShell ed eseguire il comando appropriato:Open a PowerShell Window and execute the appropriate command:

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    
    

    Questi comandi accettano "Credential" come parametro per completare la registrazione in modo non interattivo in un computer Server-Core.These commands accept "Credential" as a parameter to complete the registration in a non-interactive manner or on a Server-Core machine.

    • Il parametro Credential può essere acquisito in una variabile di PowerShell passata come parametro.The Credential can be captured in a PowerShell variable that is passed as a parameter.
    • È possibile specificare qualsiasi identità di Azure AD autorizzata all'accesso per la registrazione degli agenti e in cui NON sia abilitata la funzionalità Multi-Factor Authentication.You can provide any Azure AD Identity that has access to register the agents and does NOT have MFA enabled.
    • Per impostazione predefinita, gli amministratori globali sono autorizzati ad accedere per eseguire la registrazione dell'agente.By default Global Admins have access to perform agent registration. È anche possibile consentire ad altre identità con privilegi inferiori di eseguire questo passaggio.You can also allow other less privileged identities to perform this step. Scopri di più sul controllo degli accessi in base al ruolo di Azure (RBAC di Azure).Read more about Azure role-based access control (Azure RBAC).
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Configurare gli agenti di Azure AD Connect Health per l'uso del proxy HTTPConfigure Azure AD Connect Health Agents to use HTTP Proxy

    È possibile configurare gli agenti di Azure AD Connect Health per l'interazione con un proxy HTTP.You can configure Azure AD Connect Health Agents to work with an HTTP Proxy.

    Nota

    • L'uso di "Netsh WinHttp set ProxyServerAddress" non è supportato, perché l'agente usa System.Net, invece dei servizi HTTP Microsoft Windows, per creare richieste Web.Using “Netsh WinHttp set ProxyServerAddress” is not supported as the agent uses System.Net to make web requests instead of Microsoft Windows HTTP Services.
    • L'indirizzo del proxy HTTP viene usato per il pass-through di messaggi HTTPS crittografati.The configured Http Proxy address is used to pass-through encrypted Https messages.
    • I proxy autenticati, che usano HTTPBasic, non sono supportati.Authenticated proxies (using HTTPBasic) are not supported.

    Modificare la configurazione del proxy per l'agente di HealthChange Health Agent Proxy Configuration

    Sono disponibili le opzioni seguenti per configurare l'agente di Azure AD Connect Health per l'uso di un proxy HTTP.You have the following options to configure Azure AD Connect Health Agent to use an HTTP Proxy.

    Nota

    È necessario riavviare tutti i servizi dell'agente Azure AD Connect Health per consentire l'aggiornamento delle impostazioni del proxy.All Azure AD Connect Health Agent services must be restarted, in order for the proxy settings to be updated. Eseguire il comando seguente:Run the following command:
    Restart-Service AzureADConnectHealth *Restart-Service AzureADConnectHealth*

    Importare le impostazioni del proxy esistentiImport existing proxy Settings

    Importare da Internet ExplorerImport from Internet Explorer

    È possibile importare le impostazioni del proxy HTTP di Internet Explorer, in modo che possano essere usate dagli agenti di Azure AD Connect Health.Internet Explorer HTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Eseguire il comando di PowerShell seguente in ogni server che esegue l'agente per l'integrità:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    
    Importare da WinHTTPImport from WinHTTP

    È possibile importare le impostazioni del proxy WinHTTP, in modo che possano essere usate dagli agenti di Azure AD Connect Health.WinHTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Eseguire il comando di PowerShell seguente in ogni server che esegue l'agente per l'integrità:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Specificare gli indirizzi proxy manualmenteSpecify Proxy addresses manually

    È possibile specificare manualmente un server proxy in ogni server che esegue l'agente per l'integrità, eseguendo il comando di PowerShell seguente:You can manually specify a proxy server on each of the servers running the Health Agent, by executing the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Esempio: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443Example: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    • "address" può essere un nome di server risolvibile con DNS o un indirizzo IPv4"address" can be a DNS resolvable server name or an IPv4 address
    • "port" può essere omesso."port" can be omitted. Se omesso, viene scelta la porta 443 come porta predefinita.If omitted then 443 is chosen as default port.

    Cancellare la configurazione del proxy esistenteClear existing proxy configuration

    È possibile eseguire il comando seguente per cancellare la configurazione del proxy esistente:You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    Leggere le impostazioni del proxy correntiRead current proxy settings

    È possibile leggere le impostazioni del proxy attualmente configurate eseguendo il comando seguente:You can read the currently configured proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings
    

    Testare la connettività per il servizio Azure AD Connect HealthTest Connectivity to Azure AD Connect Health Service

    È possibile che si verifichino problemi che provocano la perdita di connettività dell'agente di Azure AD Connect Health con il servizio Azure AD Connect Health,It is possible that issues may arise that cause the Azure AD Connect Health agent to lose connectivity with the Azure AD Connect Health service. ad esempio problemi di rete, problemi di autorizzazioni o di altro tipo.These include network issues, permission issues, or various other reasons.

    Se l'agente non riesce a inviare dati al servizio Azure AD Connect Health per più di due ore, il problema viene segnalato con l'avviso seguente nel portale: "I dati del Servizio integrità non sono aggiornati".If the agent is unable to send data to the Azure AD Connect Health service for longer than two hours, it is indicated with the following alert in the portal: "Health Service data is not up to date." È possibile verificare se l'agente di Azure AD Connect Health interessato è in grado di caricare dati nel servizio Azure AD Connect Health eseguendo il comando di PowerShell seguente:You can confirm if the affected Azure AD Connect Health agent is able to upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    Il parametro role accetta attualmente i valori seguenti:The role parameter currently takes the following values:

    • AD FSADFS
    • SincronizzaSync
    • ADDSADDS

    Nota

    Per usare lo strumento di connettività, è prima di tutto necessario completare la registrazione dell'agente.To use the connectivity tool, you must first complete the agent registration. Se non è possibile completare la registrazione dell'agente, verificare che siano stati soddisfatti tutti i requisiti per Azure AD Connect Health.If you are not able to complete the agent registration, make sure that you have met all the requirements for Azure AD Connect Health. Questo test di connettività viene eseguito per impostazione predefinita durante la registrazione dell'agente.This connectivity test is performed by default during agent registration.