Azure AD Connect Health エージェントのインストールAzure AD Connect Health Agent Installation

このドキュメントでは、Azure AD Connect Health エージェントをインストールして構成する手順を紹介します。This document walks you through installing and configuring the Azure AD Connect Health Agents. エージェントは こちらからダウンロードできます。You can download the agents from here.

必要条件Requirements

次の表に、Azure AD Connect Health を使用するための要件の一覧を示します。The following table is a list of requirements for using Azure AD Connect Health.

要件Requirement 説明Description
Azure AD PremiumAzure AD Premium Azure AD Connect Health は Azure AD Premium の機能です。使用するためには Azure AD Premium が必要となります。Azure AD Connect Health is an Azure AD Premium feature and requires Azure AD Premium.
詳細については、「Azure AD Premium の概要」を参照してください。For more information, see Getting started with Azure AD Premium
30 日間無料試用版をすぐにご利用の場合は、こちらのページにアクセスしてください。To start a free 30-day trial, see Start a trial.
Azure AD Connect Health の使用を開始するには、Azure AD のグローバル管理者であることYou must be a global administrator of your Azure AD to get started with Azure AD Connect Health 既定では、Azure AD Connect Health の使用を開始してポータルにアクセスし、操作を実行するために Health エージェントのインストールと構成を行うことができるのは、グローバル管理者のみです。By default, only the global administrators can install and configure the health agents to get started, access the portal, and perform any operations within Azure AD Connect Health. 詳細については、Azure AD ディレクトリの管理に関するページを参照してください。For more information, see Administering your Azure AD directory.

ロールベースのアクセス制御を使用して、Azure AD Connect Health へのアクセスを組織の他のユーザーに許可できます。Using Role Based Access Control you can allow access to Azure AD Connect Health to other users in your organization. 詳細については、Azure AD Connect Health のロールベースのアクセス制御に関するセクションを参照してください。For more information, see Role Based Access Control for Azure AD Connect Health.

重要: エージェントのインストール時に使用するアカウントは、職場または学校アカウントである必要があります。Important: The account used when installing the agents must be a work or school account. Microsoft アカウントを使用することはできません。It cannot be a Microsoft account. 詳細については、「Azure への組織としてのサインアップ」を参照してください。For more information, see Sign up for Azure as an organization
Azure AD Connect Health エージェントが対象となる個々のサーバーにインストールされていることAzure AD Connect Health Agent is installed on each targeted server Azure AD Connect Health がデータを受信し、監視機能および分析機能を提供するためには、対象となるサーバーに Health エージェントがインストールおよび構成されている必要があります。Azure AD Connect Health requires the Health Agents to be installed and configured on targeted servers to receive the data and provide the Monitoring and Analytics capabilities
たとえば、AD FS インフラストラクチャからデータを入手するためには、AD FS サーバーと Web アプリケーション プロキシ サーバーにエージェントがインストールされている必要があります。For example, to get data from your AD FS infrastructure, the agent must be installed on the AD FS and Web Application Proxy servers. 同様に、オンプレミス AD DS インフラストラクチャに関するデータを入手するためには、ドメイン コントローラーにエージェントがインストールされている必要があります。Similarly, to get data on your on-premises AD DS infrastructure, the agent must be installed on the domain controllers.

Azure サービスのエンドポイントに対する送信接続Outbound connectivity to the Azure service endpoints エージェントをインストールしたり実行したりするためには、Azure AD Connect Health サービスのエンド ポイントへの接続が必要となります。During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. ファイアウォールを使用して送信接続がブロックされている場合は、確実に以下のエンドポイントを許可リストに追加してください。If outbound connectivity is blocked using Firewalls, ensure that the following endpoints are added to the allowed list. 送信接続エンドポイントに関するセクションをご覧ください。See outbound connectivity endpoints
IP アドレスに基づく送信接続Outbound connectivity based on IP Addresses ファイアウォールでの IP アドレスに基づくフィルタリングについては、Azure の IP 範囲に関するページをご覧ください。For IP address based filtering on firewalls, refer to the Azure IP Ranges.
送信トラフィックの SSL 検査がフィルタリングまたは無効化されていることSSL Inspection for outbound traffic is filtered or disabled ネットワーク層で送信トラフィックの SSL 検査または SSL 終了が設定されている場合、エージェントの登録手順が失敗する可能性があります。The agent registration step or data upload operations may fail if there is SSL inspection or termination for outbound traffic at the network layer. 詳細については、SSL 検査のセットアップ方法に関するページをご覧くださいRead more about how to setup SSL inspection
エージェントを実行するサーバー上のファイアウォール ポートFirewall ports on the server running the agent エージェントが Azure AD Health サービス エンドポイントと通信するには、次のファイアウォール ポートが開いている必要があります。The agent requires the following firewall ports to be open in order for the agent to communicate with the Azure AD Health service endpoints.
  • TCP ポート 443TCP port 443
  • TCP ポート 5671TCP port 5671

  • 詳細については、ファイアウォール ポートの有効化に関するページを参照してください。Read more about enable firewall ports
    IE セキュリティ強化が有効になっている場合は以下の Web サイトが許可されていることAllow the following websites if IE Enhanced Security is enabled エージェントのインストール対象となるサーバーで IE セキュリティ強化が有効になっている場合、次の Web サイトを許可する必要があります。If IE Enhanced Security is enabled, then the following websites must be allowed on the server that is going to have the agent installed.
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • Azure Active Directory によって信頼されている組織のフェデレーション サーバー The federation server for your organization trusted by Azure Active Directory. 例: https://sts.contoso.comFor example: https://sts.contoso.com
  • 詳細については、IE の構成方法に関するページを参照してください。Read more about how to configure IE
    PowerShell v4.0 以降がインストールされていることEnsure PowerShell v4.0 or newer is installed
  • Windows Server 2008 R2 には PowerShell v2.0 が付属しますが、それだけではエージェントの要件が満たされません。Windows Server 2008 R2 ships with PowerShell v2.0, which is insufficient for the agent. 後出の「Windows Server 2008 R2 サーバーへのエージェントのインストール」の説明に従って PowerShell を更新してください。Update PowerShell as explained below under Agent installation on Windows Server 2008 R2 Servers.
  • Windows Server 2012 には PowerShell v3.0 が付属しますが、それだけではエージェントの要件が満たされません。Windows Server 2012 ships with PowerShell v3.0, which is insufficient for the agent. Windows Menagement Framework を更新してください。Update the Windows Menagement Framework.
  • Windows Server 2012 R2 以降には、要件を満たした新しいバージョンの PowerShell が付属します。Windows Server 2012 R2 and later ship with a sufficiently recent version of PowerShell.
  • FIPS の無効化Disable FIPS FIPS は Azure AD Connect Health エージェントでサポートされていません。FIPS is not supported by Azure AD Connect Health agents.

    Azure サービスのエンドポイントに対する送信接続Outbound connectivity to the Azure service endpoints

    エージェントをインストールしたり実行したりするためには、Azure AD Connect Health サービスのエンド ポイントへの接続が必要となります。During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. ファイアウォールを使用して送信接続がブロックされている場合は、確実に以下のエンドポイントを許可リストに追加してください。If outbound connectivity is blocked using Firewalls, ensure that the following endpoints are added to the allowed list. 詳細については、送信接続の確認に関するページを参照してください。Read more about check outbound connectivity

    ドメイン環境Domain Environment 必要な Azure サービス エンドポイントRequired Azure service endpoints
    一般General Public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *.aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *.queue.core.windows.net*.queue.core.windows.net
  • *.servicebus.windows.net - ポート: 5671*.servicebus.windows.net - Port: 5671
  • *.table.core.windows.net*.table.core.windows.net
  • *.adhybridhealth.azure.com/*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com *このエンドポイントは、登録時の検出目的でのみ使用されます。https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Azure GermanyAzure Germany
  • *.blob.core.cloudapi.de*.blob.core.cloudapi.de
  • *.queue.core.cloudapi.de*.queue.core.cloudapi.de
  • *.servicebus.cloudapi.de*.servicebus.cloudapi.de
  • *.table.core.cloudapi.de*.table.core.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de *このエンドポイントは、登録時の検出目的でのみ使用されます。https://www.office.de *this endpoint is only used for discovery purposes during registration.
  • Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.queue.core.usgovcloudapi.net*.queue.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.table.core.usgovcloudapi.net*.table.core.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com *このエンドポイントは、登録時の検出目的でのみ使用されます。https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Azure AD Connect Health エージェントのダウンロードとインストールDownload and install the Azure AD Connect Health Agent

    Azure AD Connect Health エージェント for AD FS のインストールInstalling the Azure AD Connect Health Agent for AD FS

    エージェントのインストールを開始するには、ダウンロードした .exe ファイルをダブルクリックします。To start the agent installation, double-click the .exe file that you downloaded. 最初の画面で [インストール] をクリックします。On the first screen, click Install.

    Verify Azure AD Connect Health

    インストールが完了したら、[すぐに構成する] をクリックします。Once the installation is finished, click Configure Now.

    Verify Azure AD Connect Health

    これにより PowerShell ウィンドウが起動され、エージェント登録プロセスが開始されます。This launches a PowerShell window to initiate the agent registration process. 画面の指示に従って、エージェントの登録を実行するアクセス許可を持つ Azure AD アカウントでサインインします。When prompted, sign in with an Azure AD account that has access to perform agent registration. 既定では、管理者アカウントがアクセス許可を持ちます。By default the Global Admin account has access.

    Verify Azure AD Connect Health

    サインイン後も、PowerShell は続行されます。After signing in, PowerShell will continue. 完了したら PowerShell を閉じます。これで構成は完了です。Once it completes, you can close PowerShell and the configuration is complete.

    この時点でエージェント サービスが自動的に開始され、エージェントが必要なデータを安全な方法でクラウド サービスにアップロードできるようになります。At this point, the agent services should be started automatically allowing the agent upload the required data to the cloud service in a secure manner.

    前のセクションで挙げたすべての前提条件が満たされていない場合、PowerShell ウィンドウに警告が表示されます。If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. 要件が満たされていることを必ず確認したうえで、エージェントをインストールしてください。Be sure to complete the requirements before installing the agent. 以下のスクリーンショットは、これらのエラーの例です。The following screenshot is an example of these errors.

    Verify Azure AD Connect Health

    エージェントがインストール済みであることを確認するには、サーバーで以下のサービスを探します。To verify the agent has been installed, look for the following services on the server. 構成が完了していれば、これらのサービスが既に実行されているはずです。If you completed the configuration, they should already be running. そうでない場合は、構成が完了するまで停止しています。Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health AD FS Diagnostics ServiceAzure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights ServiceAzure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring ServiceAzure AD Connect Health AD FS Monitoring Service

    Verify Azure AD Connect Health

    Windows Server 2008 R2 サーバーへのエージェントのインストールAgent installation on Windows Server 2008 R2 Servers

    Windows Server 2008 R2 サーバーでの手順:Steps for Windows Server 2008 R2 servers:

    1. Service Pack 1 以降がサーバーで実行されていることを確認します。Ensure that the server is running at Service Pack 1 or higher.
    2. エージェントをインストールするために、[IE セキュリティ強化の構成] をオフにします。Turn off IE ESC for agent installation:
    3. AD Health エージェントをインストールする前に、それぞれのサーバーに Windows PowerShell 4.0 をインストールします。Install Windows PowerShell 4.0 on each of the servers ahead of installing the AD Health agent. Windows PowerShell 4.0 をインストールするには:To install Windows PowerShell 4.0:
      • 次のリンクを使用してオフライン インストーラーをダウンロードし、 Microsoft .NET Framework 4.5 をインストールします。Install Microsoft .NET Framework 4.5 using the following link to download the offline installer.
      • ([Windows の機能] から) PowerShell ISE をインストールします。Install PowerShell ISE (From Windows Features)
      • Windows Management Framework 4.0Install the Windows Management Framework 4.0.
      • Internet Explorer Version 10 以降をサーバーにインストールします。Install Internet Explorer version 10 or above on the server. (ヘルス サービスが、ユーザーの Azure Admin 資格情報を使用してユーザーを認証するために必須となります。)(Required by the Health Service to authenticate, using your Azure Admin credentials.)
    4. Windows Server 2008 R2 への Windows PowerShell 4.0 のインストールに関するさらに詳しい情報については、こちらの wiki 記事を参照してください。For more information on installing Windows PowerShell 4.0 on Windows Server 2008 R2, see the wiki article here.

    AD FS の監査の有効化Enable Auditing for AD FS

    注意

    このセクションが該当するのは AD FS サーバーのみです。This section only applies to AD FS servers. Web アプリケーション プロキシ サーバーでは次の手順に従う必要はありません。You do not have to follow these steps on the Web Application Proxy Servers.

    利用状況分析機能でデータを収集し、分析するには、AD FS 監査ログ内の情報に Azure AD Connect Health エージェントからアクセスできることが必要です。In order for the Usage Analytics feature to gather and analyze data, the Azure AD Connect Health agent needs the information in the AD FS Audit Logs. 既定では、これらのログが有効になっていません。These logs are not enabled by default. AD FS サーバーで、AD FS の監査を有効にしたり、AD FS の監査ログを特定したりするには、以下の手順に従ってください。Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs, on your AD FS servers.

    Windows Server 2008 R2 で AD FS の監査を有効にするにはTo enable auditing for AD FS on Windows Server 2008 R2

    1. [スタート] ボタンをクリックし、[プログラム][管理ツール] の順にポイントして、[ローカル セキュリティ ポリシー] をクリックします。Click Start, point to Programs, point to Administrative Tools, and then click Local Security Policy.
    2. "セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て" フォルダーに移動し、[セキュリティ監査の生成] をダブルクリックします。Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. [ローカル セキュリティの設定] タブで、AD FS 2.0 サービス アカウントが表示されていることを確認します。On the Local Security Setting tab, verify that the AD FS 2.0 service account is listed. 表示されない場合は、[ユーザーまたはグループの追加] をクリックしてこのアカウントをリストに追加し、[OK] をクリックします。If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. 管理者特権でコマンド プロンプトを開き、次のコマンドを実行して監査を有効にします。auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableTo enable auditing, open a Command Prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    5. [ローカル セキュリティ ポリシー] を閉じます。Close Local Security Policy.
      -- 次の手順は、プライマリ AD FS サーバーにのみ必要です。-- The following steps are only required for primary AD FS servers. --
    6. AD FS 管理スナップインを開きます。Open the AD FS Management snap-in. AD FS 管理スナップインを開くには、[スタート] ボタンをクリックし、[プログラム][管理ツール] の順にポイントして、[AD FS 2.0 管理] をクリックします。To open the AD FS Management snap-in, click Start, point to Programs, point to Administrative Tools, and then click AD FS 2.0 Management.
    7. 操作ウィンドウで、[フェデレーション サービス プロパティの編集] をクリックします。In the Actions pane, click Edit Federation Service Properties.
    8. [フェデレーション サービス プロパティ] ダイアログ ボックスの [イベント] タブをクリックします。In the Federation Service Properties dialog box, click the Events tab.
    9. [成功の監査] チェック ボックスと [失敗の監査] チェック ボックスをオンにします。Select the Success audits and Failure audits check boxes.
    10. Click OK.Click OK.

    Windows Server 2012 R2 で AD FS の監査を有効にするにはTo enable auditing for AD FS on Windows Server 2012 R2

    1. スタート画面の [サーバー マネージャー] またはデスクトップのタスク バーにある [サーバー マネージャー] を開いて [ローカル セキュリティ ポリシー] を開き、[ツール]、[ローカル セキュリティ ポリシー] の順にクリックします。Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. "セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て" フォルダーに移動し、[セキュリティ監査の生成] をダブルクリックします。Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. [ローカル セキュリティの設定] タブで、AD FS サービス アカウントが表示されていることを確認します。On the Local Security Setting tab, verify that the AD FS service account is listed. 表示されない場合は、[ユーザーまたはグループの追加] をクリックしてこのアカウントをリストに追加し、[OK] をクリックします。If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. 管理者特権でコマンド プロンプトを開き、次のコマンドを実行して監査を有効にします。auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableTo enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable.
    5. [ローカル セキュリティ ポリシー] を閉じます。Close Local Security Policy.
      -- 次の手順は、プライマリ AD FS サーバーにのみ必要です。-- The following steps are only required for primary AD FS servers. --
    6. AD FS 管理スナップインを開きます (サーバー マネージャーの [ツール] をクリックし、[AD FS の管理] を選択します)。Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. 操作ウィンドウで、[フェデレーション サービス プロパティの編集] をクリックします。In the Actions pane, click Edit Federation Service Properties.
    8. [フェデレーション サービス プロパティ] ダイアログ ボックスの [イベント] タブをクリックします。In the Federation Service Properties dialog box, click the Events tab.
    9. [成功の監査] チェック ボックスと [失敗の監査] チェック ボックスをオンにし、[OK] をクリックします。Select the Success audits and Failure audits check boxes and then click OK.

    Windows Server 2016 で AD FS の監査を有効にするにはTo enable auditing for AD FS on Windows Server 2016

    1. スタート画面の [サーバー マネージャー] またはデスクトップのタスク バーにある [サーバー マネージャー] を開いて [ローカル セキュリティ ポリシー] を開き、[ツール]、[ローカル セキュリティ ポリシー] の順にクリックします。Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. "セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て" フォルダーに移動し、[セキュリティ監査の生成] をダブルクリックします。Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. [ローカル セキュリティの設定] タブで、AD FS サービス アカウントが表示されていることを確認します。On the Local Security Setting tab, verify that the AD FS service account is listed. 表示されない場合は、[ユーザーまたはグループの追加] をクリックして AD FS サービス アカウントをリストに追加し、[OK] をクリックします。If it is not present, click Add User or Group and add the AD FS service account to the list, and then click OK.
    4. 昇格された特権でコマンド プロンプトを開き、次のコマンドを実行して監査を有効にします。auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable.To enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable.
    5. [ローカル セキュリティ ポリシー] を閉じます。Close Local Security Policy.
      -- 次の手順は、プライマリ AD FS サーバーにのみ必要です。-- The following steps are only required for primary AD FS servers. --
    6. AD FS 管理スナップインを開きます (サーバー マネージャーの [ツール] をクリックし、[AD FS の管理] を選択します)。Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. 操作ウィンドウで、[フェデレーション サービス プロパティの編集] をクリックします。In the Actions pane, click Edit Federation Service Properties.
    8. [フェデレーション サービス プロパティ] ダイアログ ボックスの [イベント] タブをクリックします。In the Federation Service Properties dialog box, click the Events tab.
    9. [成功の監査] チェック ボックスと [失敗の監査] チェック ボックスをオンにし、[OK] をクリックします。Select the Success audits and Failure audits check boxes and then click OK. これは既定で有効になっています。This should be enabled by default.
    10. PowerShell ウィンドウを開き、次のコマンドを実行します。Set-AdfsProperties -AuditLevel VerboseOpen a PowerShell window and run the following command: Set-AdfsProperties -AuditLevel Verbose.

    既定では "basic" 監査レベルが有効になっていることに注意してください。Note that "basic" audit level is enabled by default. 詳細については、Windows Server 2016 での AD FS 監査の強化に関する記事をご覧ください。Read more about the AD FS Audit enhancement in Windows Server 2016

    AD FS の監査ログを特定するにはTo locate the AD FS audit logs

    1. イベント ビューアーを開きます。Open Event Viewer.
    2. [Windows ログ] に移動し、 [セキュリティ] を選択します。Go to Windows Logs and select Security.
    3. 右側の [現在のログをフィルター] をクリックします。On the right, click Filter Current Logs.
    4. [イベント ソース] の [AD FS の監査] を選択します。Under Event Source, select AD FS Auditing.

      監査ログについては、FAQ も参照してください。And quick FAQ note for Audit logs.

    AD FS audit logs

    警告

    グループ ポリシーで AD FS 監査を無効にできます。A group policy can disable AD FS auditing. AD FS 監査が無効になっている場合、ログイン アクティビティに関する利用状況分析は利用できません。If AD FS auditing is disabled, usage analytics about login activities are not available. グループ ポリシーで AD FS 監査が無効にされていないことを確認してください。>Ensure that you don’t have a group policy that disables AD FS auditing.>

    Azure AD Connect Health エージェント for Sync のインストールInstalling the Azure AD Connect Health agent for sync

    Azure AD Connect Health エージェント for Sync は、最新ビルドの Azure AD Connect に自動的にインストールされます。The Azure AD Connect Health agent for sync is installed automatically in the latest build of Azure AD Connect. Azure AD Connect for Sync を使用するには、最新バージョンの Azure AD Connect をダウンロードし、インストールする必要があります。To use Azure AD Connect for sync, you need to download the latest version of Azure AD Connect and install it. 最新バージョンは こちらからダウンロードできます。You can download the latest version here.

    エージェントがインストール済みであることを確認するには、サーバーで以下のサービスを探します。To verify the agent has been installed, look for the following services on the server. 構成が完了していれば、これらのサービスが既に実行されているはずです。If you completed the configuration, they should already be running. そうでない場合は、構成が完了するまで停止しています。Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health Sync 分析サービスAzure AD Connect Health Sync Insights Service
    • Azure AD Connect Health Sync 監視サービスAzure AD Connect Health Sync Monitoring Service

    Azure AD Connect Health for Sync の確認

    注意

    Azure AD Connect Health を使用するには、Azure AD Premium が必要です。Remember that using Azure AD Connect Health requires Azure AD Premium. Azure AD Premium を持っていない場合、Azure Portal で構成を完了できません。If you do not have Azure AD Premium, you are unable to complete the configuration in the Azure portal. 詳細については、要件のページを参照してください。For more information, see the requirements page.

    主導による Azure AD Connect Health for Sync の登録Manual Azure AD Connect Health for Sync registration

    Azure AD Connect が正常にインストールされた後で、Azure AD Connect Health for Sync エージェントの登録に失敗した場合は、次の PowerShell コマンドを使用してエージェントを手動で登録できます。If the Azure AD Connect Health for Sync agent registration fails after successfully installing Azure AD Connect, you can use the following PowerShell command to manually register the agent.

    重要

    この PowerShell コマンドは、Azure AD Connect をインストールした後でエージェントの登録が失敗した場合にのみ使用してください。Using this PowerShell command is only required if the agent registration fails after installing Azure AD Connect.

    以下の PowerShell コマンドは、Azure AD Connect のインストールと構成が正常に完了した後に Health エージェントの登録が失敗した場合にのみ実行する必要があります。The following PowerShell command is required ONLY when the health agent registration fails even after a successful installation and configuration of Azure AD Connect. Azure AD Connect Health サービスは、エージェントが正常に登録された後で開始されます。The Azure AD Connect Health services will start after the agent has been successfully registered.

    次の PowerShell コマンドを使用して、Azure AD Connect Health for Sync エージェントを手動で登録することができます。You can manually register the Azure AD Connect Health agent for sync using the following PowerShell command:

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    このコマンドは次のパラメーターを受け取ります。The command takes following parameters:

    • AttributeFiltering: $true (既定) - Azure AD Connect が既定の属性セットを同期しておらず、フィルター処理された属性セットを使用するようにカスタマイズされている場合。AttributeFiltering: $true (default) - if Azure AD Connect is not syncing the default attribute set and has been customized to use a filtered attribute set. それ以外の場合は $false です。$false otherwise.
    • StagingMode: $false (既定) - Azure AD Connect サーバーがステージング モードになっていない場合。サーバーがステージング モードになるように構成されている場合は $true です。StagingMode: $false (default) - if the Azure AD Connect server is NOT in staging mode, $true if the server is configured to be in staging mode.

    認証情報の入力を求められたら、Azure AD Connect の構成に使用したのと同じグローバル管理者アカウントを使用する必要があります (admin@domain.onmicrosoft.com など)。When prompted for authentication you should use the same global admin account (such as admin@domain.onmicrosoft.com) that was used for configuring Azure AD Connect.

    Azure AD Connect Health エージェント for AD DS のインストールInstalling the Azure AD Connect Health Agent for AD DS

    エージェントのインストールを開始するには、ダウンロードした .exe ファイルをダブルクリックします。To start the agent installation, double-click the .exe file that you downloaded. 最初の画面で [インストール] をクリックします。On the first screen, click Install.

    Verify Azure AD Connect Health

    インストールが完了したら、[すぐに構成する] をクリックします。Once the installation is finished, click Configure Now.

    Verify Azure AD Connect Health

    コマンド プロンプトが起動され、続けて PowerShell の Register-AzureADConnectHealthADDSAgent が実行されます。A command prompt is launched, followed by some PowerShell that executes Register-AzureADConnectHealthADDSAgent. Azure へのサインインを求めるメッセージが表示されたら、サインインしてください。When prompted to sign in to Azure, go ahead and sign in.

    Verify Azure AD Connect Health

    サインイン後も、PowerShell は続行されます。After signing in, PowerShell will continue. 完了したら PowerShell を閉じます。これで構成は完了です。Once it completes, you can close PowerShell and the configuration is complete.

    この時点でサービスが自動的に開始され、エージェントによるデータの監視と収集ができるようになります。At this point, the services should be started automatically allowing the agent to monitor and gather data. 前のセクションで挙げたすべての前提条件が満たされていない場合、PowerShell ウィンドウに警告が表示されます。If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. 要件が満たされていることを必ず確認したうえで、エージェントをインストールしてください。Be sure to complete the requirements before installing the agent. 以下のスクリーンショットは、これらのエラーの例です。The following screenshot is an example of these errors.

    Verify Azure AD Connect Health for AD DS

    エージェントがインストール済みであることを確認するには、ドメイン コントローラーで以下のサービスを探します。To verify the agent has been installed, look for the following services on the domain controller.

    • Azure AD Connect Health AD DS Insights ServiceAzure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring ServiceAzure AD Connect Health AD DS Monitoring Service

    構成が完了していれば、これらのサービスが既に実行されているはずです。If you completed the configuration, these services should already be running. そうでない場合は、構成が完了するまで停止しています。Otherwise, they are stopped until the configuration is complete.

    Verify Azure AD Connect Health

    PowerShell を使用したエージェントの登録Agent Registration using PowerShell

    適切なエージェントの setup.exe をインストールしたら、ロールに応じて以下の PowerShell コマンドを使用して、エージェントの登録手順を実行できます。After installing the appropriate agent setup.exe, you can perform the agent registration step using the following PowerShell commands depending on the role. PowerShell ウィンドウを開き、適切なコマンドを実行します。Open a PowerShell Window and execute the appropriate command:

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    

    これらのコマンドは "Credential" をパラメーターとして受け入れて、非対話型の方法またはサーバー コア マシンで登録を実行します。These commands accept "Credential" as a parameter to complete the registration in a non-interactive manner or on a Server-Core machine.

    • Credential は、パラメーターとして渡される PowerShell 変数内でキャプチャできます。The Credential can be captured in a PowerShell variable that is passed as a parameter.
    • エージェントを登録するためのアクセス許可を持ち、MFA が有効になっていない任意の Azure AD ID を指定できます。You can provide any Azure AD Identity that has access to register the agents and does NOT have MFA enabled.
    • 既定では、グローバル管理者がエージェントの登録を実行するためのアクセス許可を持ちます。By default Global Admins have access to perform agent registration. より低い権限を持つ ID に対してこの手順の実行を許可することもできます。You can also allow other less privileged identities to perform this step. 詳細については、ロール ベースのアクセス制御に関するセクションをご覧ください。Read more about Role Based Access Control.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    

    HTTP プロキシを使用するための Azure AD Connect Health エージェントの構成Configure Azure AD Connect Health Agents to use HTTP Proxy

    HTTP プロキシを使用するように Azure AD Connect Health エージェントを構成できます。You can configure Azure AD Connect Health Agents to work with an HTTP Proxy.

    注意

    • エージェントが Microsoft Windows HTTP サービスではなく System.Net を使用して Web 要求を行うので、"Netsh WinHttp set ProxyServerAddress" はサポートされていません。Using “Netsh WinHttp set ProxyServerAddress” is not supported as the agent uses System.Net to make web requests instead of Microsoft Windows HTTP Services.
    • 構成済みの Http プロキシ アドレスを使用して、暗号化された Https メッセージがパススルーされます。The configured Http Proxy address is used to pass-through encrypted Https messages.
    • 認証されたプロキシ (HTTPBasic を使用) はサポートされていません。Authenticated proxies (using HTTPBasic) are not supported.

    Health エージェントのプロキシ構成の変更Change Health Agent Proxy Configuration

    HTTP プロキシを使用するように Azure AD Connect Health エージェントを構成する場合、以下のオプションがあります。You have the following options to configure Azure AD Connect Health Agent to use an HTTP Proxy.

    注意

    プロキシ設定を更新するには、すべての Azure AD Connect Health エージェント サービスを再起動する必要があります。All Azure AD Connect Health Agent services must be restarted, in order for the proxy settings to be updated. 次のコマンドを実行します。Run the following command:
    Restart-Service AdHealth*Restart-Service AdHealth*

    既存のプロキシ設定のインポートImport existing proxy Settings

    Internet Explorer からのインポートImport from Internet Explorer

    Internet Explorer HTTP プロキシ設定は、インポートして、Azure AD Connect Health エージェントで使用することができます。Internet Explorer HTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Health エージェントを実行している各サーバーで、次の PowerShell コマンドを実行します。On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    
    WinHTTP からのインポートImport from WinHTTP

    WinHTTP プロキシ設定は、インポートして、Azure AD Connect Health エージェントで使用することができます。WinHTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Health エージェントを実行している各サーバーで、次の PowerShell コマンドを実行します。On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    プロキシ アドレスの手動での指定Specify Proxy addresses manually

    Health エージェントを実行している各サーバーで、プロキシ サーバーを手動で指定するには、次の PowerShell コマンドを実行します。You can manually specify a proxy server on each of the servers running the Health Agent, by executing the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    例: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443Example: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    • "address" には、DNS で解決可能なサーバー名または IPv4 アドレスを指定できます。"address" can be a DNS resolvable server name or an IPv4 address
    • "port" は省略できます。"port" can be omitted. 省略した場合、既定のポートとして 443 が選択されます。If omitted then 443 is chosen as default port.

    既存のプロキシ構成のクリアClear existing proxy configuration

    次のコマンドを実行することで、既存のプロキシ構成をクリアすることができます。You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    現在のプロキシ設定の読み取りRead current proxy settings

    現在構成されているプロキシ設定を読み取るには、次のコマンドを実行します。You can read the currently configured proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings
    

    Azure AD Connect Health サービスへの接続テストTest Connectivity to Azure AD Connect Health Service

    Azure AD Connect Health エージェントが Azure AD Connect Health サービスとの接続を失うことになるような問題が発生することがあります。It is possible that issues may arise that cause the Azure AD Connect Health agent to lose connectivity with the Azure AD Connect Health service. ネットワークの問題、アクセス許可の問題や、その他のさまざまな理由があります。These include network issues, permission issues, or various other reasons.

    エージェントが Azure AD Connect Health サービスに 2 時間以上データを送信できない場合は、ポータルに "ヘルス サービス データが最新ではありません" というアラートが表示されます。If the agent is unable to send data to the Azure AD Connect Health service for longer than two hours, it is indicated with the following alert in the portal: "Health Service data is not up to date." 影響を受ける Azure AD Connect Health エージェントがデータを Azure AD Connect Health サービスにアップロードできるかどうかを確認するには、次の PowerShell コマンドを実行します。You can confirm if the affected Azure AD Connect Health agent is able to upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    role パラメーターは、現在、以下の値を受け取ります。The role parameter currently takes the following values:

    • ADFSADFS
    • 同期Sync
    • ADDSADDS

    注意

    接続ツールを使用するには、まず、エージェントの登録を完了する必要があります。To use the connectivity tool, you must first complete the agent registration. エージェントの登録を完了できない場合は、Azure AD Connect Health のすべての要件が満たされていることを確認してください。If you are not able to complete the agent registration, make sure that you have met all the requirements for Azure AD Connect Health. この接続テストは、既定ではエージェントの登録中に実行されます。This connectivity test is performed by default during agent registration.