Установка агента Azure AD Connect Health

В этой статье описан процесс установки и настройки агентов Azure Active Directory (Azure AD) Connect Health. Сведения о загрузке агентов см. в этих инструкциях.

Требования

В таблице ниже приведен список предварительных требований для использования Azure AD Connect Health.

Требование Описание
Имеется подписка Azure AD Premium (P1 или P2). Azure AD Connect Health представляет собой функцию Azure AD Premium (P1 или P2). Дополнительные сведения см. в статье Подписка на службу Azure AD Premium.

Чтобы запустить бесплатную 30-дневную пробную версию, перейдите в раздел Запуск пробной версии.
Вы являетесь глобальным администратором в Azure AD. По умолчанию только глобальный администратор может установить и настроить агенты работоспособности, получить доступ к порталу и выполнять любые операции в Azure AD Connect Health. Дополнительные сведения см. в статье Администрирование каталога Azure AD.

Управление доступом на основе ролей Azure (Azure RBAC) позволяет предоставить другим пользователям в организации доступ к Azure AD Connect Health. Дополнительные сведения см. в статье Azure RBAC для Azure AD Connect Health.

Важно! . Для установки агентов используйте рабочую или учебную учетную запись. Нельзя использовать учетную запись Майкрософт. Дополнительные сведения см. в статье Подписка на службу Azure для организации.
Агент Azure AD Connect Health следует установить на всех целевых серверах. На целевых серверах следует установить и настроить агентов работоспособности, чтобы серверы могли получать данные и предоставлять возможности мониторинга и аналитики.

Например, чтобы получить данные из инфраструктуры службы федерации Active Directory (AD FS) (AD FS), необходимо установить агент на сервере AD FS сервере и веб-сервере Application Proxy. Подобным образом, чтобы получать данные из локальной инфраструктуры доменных служб Azure Active Directory (Azure AD DS), необходимо установить агент на контроллерах домена.
Конечные точки службы Azure имеют исходящее подключение. Во время установки и выполнения агенту требуется подключение к конечным точкам службы Azure AD Connect Health. Если брандмауэры блокируют исходящие подключения, добавьте конечные точки исходящего подключения в список разрешенных.
Исходящее подключение основано на IP-адресах. Сведения о фильтрации брандмауэра по IP-адресам см. в разделе Диапазоны IP-адресов Azure.
Проверка TLS для исходящего трафика фильтруется или отключена. Операции отправки данных или регистрация агента могут завершиться ошибкой в случае проверки TLS или завершения исходящего трафика на уровне сети. Дополнительные сведения см. в статье Настройка проверки TLS.
Порты брандмауэра на сервере запускают агент. Для работы агента необходимо открыть следующие порты брандмауэра, чтобы он мог взаимодействовать с конечными точками службы Azure AD Connect Health:
  • TCP-порт 443
  • TCP-порт 5671

  • Для последней версии агента не требуется порт 5671. Обновите до последней версии, чтобы требовался только порт 443. Дополнительные сведения см. в статье Порты и протоколы, необходимые для гибридной идентификации.
    Если включена функция усиленной безопасности Internet Explorer, разрешите указанные веб-сайты. Если функция усиленной безопасности Internet Explorer, на сервере, где устанавливается агент, следует разрешить следующие веб-сайты:
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.net
  • https://aadcdn.msftauth.net
  • Сервер федерации вашей организации, который является доверенным для Microsoft Azure Active Directory (например, https://sts.contoso.com)

  • Дополнительные сведения см. в статье Настройка Internet Explorer. Если в сети функционирует прокси-сервер, см. примечание в конце этой таблицы.
    Установлена служба PowerShell 5.0 или более поздней версии. Windows Server 2016 содержит службу PowerShell 5.0.
    FIPS (Федеральный стандарт обработки информации) отключен. Агенты Azure AD Connect Health не поддерживают FIPS.

    Важно!

    Windows Server Core не поддерживает установку агента Azure AD Connect Health.

    Примечание

    При работе в значительно заблокированной и ограниченной среде необходимо добавить больше URL-адресов по сравнению с таблицей, предназначенной для усиления безопасности Internet Explorer. Кроме того, добавьте URL-адреса, перечисленные в таблице в следующем разделе.

    Исходящие подключения к конечным точкам службы Azure

    Во время установки и выполнения агенту необходимо подключение к конечным точкам службы Azure AD Connect Health. Если брандмауэры блокируют исходящие подключения, убедитесь, что URL-адреса, указанные в следующей таблице, не заблокированы по умолчанию.

    Не отключайте контроль безопасности и проверку этих URL-адресов. Вместо этого разрешите их также, как и другой интернет-трафик.

    Эти URL-адреса разрешают обмен данными с конечными точками службы Azure AD Connect Health. Далее в этой статье описан способ проверки исходящих подключений с помощью Test-AzureADConnectHealthConnectivity.

    Доменная среда Требуемые конечные точки службы Azure
    Общедоступная сеть
  • *.blob.core.windows.net
  • *.aadconnecthealth.azure.com
  • *.servicebus.windows.net — порт: 5671 (Эта конечная точка не требуется в новейшей версии агента.)
  • *.adhybridhealth.azure.com/;
  • https://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.net
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (Эта конечная точка используется только при регистрации для обнаружения.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure для Германии
  • .blob.core.cloudapi.de;
  • .servicebus.cloudapi.de;
  • *.aadconnecthealth.microsoftazure.de;
  • https://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de. (Эта конечная точка используется только для обнаружения во время регистрации.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure для государственных организаций
  • *.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (Эта конечная точка используется только при регистрации для обнаружения.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Установка агента.

    Для загрузки и установки Azure AD Connect Health выполните действия, описанные ниже.

    Установка агента для AD FS

    Примечание

    Сервер AD FS должен отличаться от сервера службы синхронизации. Не устанавливайте агент AD FS на сервере синхронизации.

    Перед установкой убедитесь, что имя узла сервера AD FS является уникальным и не существует в службе AD FS. Дважды щелкните скачанный .exe-файл, чтобы начать установку агента. В первом окне выберите Install.

    Снимок экрана, демонстрирующий окно установки агента Azure AD Connect Health AD FS.

    По завершении установки выберите Configure Now.

    Снимок экрана, демонстрирующий сообщение с подтверждением для установки агента Azure AD Connect Health AD FS.

    Откроется окно PowerShell для запуска процесса регистрации агента. При появлении запроса войдите в систему, используя учетную запись Azure AD с разрешениями на регистрацию агента. По умолчанию учетная запись глобального администратора имеет разрешения.

    Снимок экрана, демонстрирующий окно входа для Azure AD Connect Health AD FS.

    После входа в систему PowerShell продолжится. По завершении вы можете закрыть PowerShell. Настройка завершена.

    На этом этапе службы агента должны запускаться автоматически, чтобы агент мог безопасно загружать необходимые данные в облачную службу.

    Если вы не удовлетворены всеми необходимыми компонентами, в окне PowerShell появятся предупреждения. Перед установкой агента необходимо выполнить требования. На следующем снимке экрана приведен пример этих предупреждений.

    Снимок экрана, демонстрирующий сценарий настройки Azure AD Connect Health AD FS.

    Чтобы проверить, установлен ли агент, найдите приведенные ниже службы в контроллере домена. Если вы выполнили настройку, эти службы должны работать. В противном случае они не запустятся, пока не будет выполнена настройка.

    • Служба диагностики AD FS Azure AD Connect Health
    • Служба AD FS получения ценной информации из данных о работоспособности Azure AD Connect
    • Служба наблюдения AD FS Azure AD Connect Health

    Снимок экрана, демонстрирующий службы Azure AD Connect Health AD FS.

    Включение аудита для AD FS

    Примечание

    Этот раздел относится только к серверам AD FS. На прокси-серверах веб-приложений выполнение этих действий не требуется.

    Функция аналитики использования предназначена для сбора и анализа данных. Поэтому агенту Azure AD Connect Health необходимы сведения из журналов аудита AD FS. По умолчанию эти журналы не включены. Используйте описанные ниже процедуры, чтобы включить аудит AD FS и выполнять поиск журналов аудита AD FS на серверах AD FS.

    Включение аудита для AD FS на Windows Server 2012 R2

    1. На экране запуска откройте Диспетчер сервера, затем откройте локальную политику безопасности. Либо на панели задач откройте Диспетчер сервера, затем выберите Инструменты/локальная политика безопасности.

    2. Перейдите в папку Параметры безопасности\Локальные политики\Назначение прав пользователей. Затем дважды щелкните элемент Создание аудитов безопасности.

    3. На вкладке Параметр локальной безопасности убедитесь, что в списке указана учетная запись службы AD FS. Если этот параметр отсутствует в списке, выберите Добавить пользователя или группу и добавьте его в список. Нажмите кнопку ОК.

    4. Для включения аудита откройте окно командной строки с более высоким уровнем привилегий. Затем выполните следующую команду.

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Закройте вкладку Параметры локальной безопасности.

      Важно!

      Следующие шаги необходимо выполнить только для основных серверов AD FS.

    6. Откройте оснастку Управление AD FS. (В разделе Диспетчер сервера выберите Инструменты > Управление AD FS.)

    7. На панели Действия выберите действие Изменить свойства службы федерации.

    8. В диалоговом окне Свойства службы федерации выберите вкладку События.

    9. Установите флажки для полей Успешные события аудита и Неудачные события аудита и нажмите кнопку ОК.

    10. Чтобы включить функцию подробного ведения журнала с помощью PowerShell, используйте следующую команду:

      Set-AdfsProperties -LOGLevel Verbose

    Включение аудита для AD FS на Windows Server 2016

    1. На экране запуска откройте Диспетчер сервера, затем откройте локальную политику безопасности. Либо на панели задач откройте Диспетчер сервера, затем выберите Инструменты/локальная политика безопасности.

    2. Перейдите к папке Параметры безопасности\Локальные политики\Предоставление прав пользователям, затем дважды щелкните пункт Создание аудитов безопасности.

    3. На вкладке Параметр локальной безопасности убедитесь, что в списке указана учетная запись службы AD FS. Если она отсутствует в списке, выберите Добавить пользователя или группу и добавьте учетную запись службы AD FS в список. Нажмите кнопку ОК.

    4. Для включения аудита откройте окно командной строки с более высоким уровнем привилегий. Затем выполните следующую команду.

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Закройте вкладку Параметры локальной безопасности.

      Важно!

      Следующие шаги необходимо выполнить только для основных серверов AD FS.

    6. Откройте оснастку Управление AD FS. (В разделе Диспетчер сервера выберите Инструменты > Управление AD FS.)

    7. На панели Действия выберите действие Изменить свойства службы федерации.

    8. В диалоговом окне Свойства службы федерации выберите вкладку События.

    9. Установите флажки для полей Успешные события аудита и Неудачные события аудита и нажмите кнопку ОК. Элементы "Успешные события аудита" и "Неудачные события аудита" должны быть включены по умолчанию.

    10. Откройте окно PowerShell и выполните следующую команду:

      Set-AdfsProperties -AuditLevel Verbose

    По умолчанию включен "базовый" уровень аудита. Дополнительные сведения см. в статье Усовершенствование аудита AD FS в Windows Server 2016.

    Поиск журналов аудита AD FS

    1. Откройте средство просмотра событий.

    2. Перейдите в раздел Журналы Windows и выберите Безопасность.

    3. В правой части выберите Фильтровать текущие журналы.

    4. В поле Источник события выберите Аудит AD FS.

      Дополнительные сведения о журналах аудита см. в статье Вопросы управления.

      Снимок экрана, демонстрирующий окно "Фильтр текущего журнала". В поле "Источник события" выбран параметр "Аудит AD FS".

    Предупреждение

    Групповая политика может отключить аудит AD FS. Если аудит AD FS отключен, аналитика использования в отношении действий входа недоступна. Убедитесь, что отсутствует групповая политика, которая может отключить аудит AD FS.

    Установка агента для синхронизации

    В последней версии Azure AD Connect агент Azure AD Connect Health для синхронизации устанавливается автоматически. Чтобы использовать Azure AD Connect для синхронизации, загрузите новейшую версию Azure AD Connect и установите ее.

    Чтобы проверить, установлен ли агент, найдите на сервере приведенные ниже службы. Если вы выполнили настройку, эти службы уже должны работать. В противном случае они не запустятся, пока не будет выполнена настройка.

    • Служба Sync Insights Azure AD Connect Health
    • Служба Sync Monitoring Azure AD Connect Health

    Снимок экрана, на котором показана работающая служба Azure AD Connect Health для служб Sync на сервере.

    Примечание

    Обратите внимание, что для использования Azure AD Connect Health необходимо иметь Azure AD Premium (P1 или P2). Если Azure AD Premium отсутствует, вы не сможете завершить конфигурацию на портале Azure. Дополнительные сведения см. на странице требований.

    Регистрация агента Azure AD Connect Health для Sync в ручном режиме

    Если после успешной установки Azure AD Connect произойдет сбой регистрации агента Azure AD Connect Health для Sync, можно использовать команду PowerShell для регистрации агента в ручном режиме.

    Важно!

    Используйте эту команду PowerShell при сбое регистрации агента после установки Azure AD Connect.

    Зарегистрируйте агент Azure AD Connect Health для Sync в ручном режиме с помощью приведенной ниже команды PowerShell. Службы Azure AD Connect Health запустятся после того, как агент будет успешно зарегистрирован.

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

    Команда принимает следующие параметры:

    • AttributeFiltering: $true (по умолчанию) используется, если служба Azure AD Connect не синхронизирует набор атрибутов по умолчанию и была настроена для использования отфильтрованного набора атрибутов. В противном случае используйте коллекцию $false.
    • StagingMode: $false (по умолчанию), используется если сервер Azure AD Connect не находится в промежуточном режиме. Если сервер настроен для работы в промежуточном режиме, используйте параметр $true.

    При появлении запроса на аутентификацию следует использовать ту же учетную запись глобального администратора (например, admin@domain.onmicrosoft.com), которая использовалась для настройки Azure AD Connect.

    Установка агента для Microsoft Azure Active Directory DS

    Дважды щелкните скачанный .exe-файл, чтобы начать установку агента. В первом окне выберите Install.

    Снимок экрана, демонстрирующий окно установки агента Azure AD Connect Health для доменных служб Active Directory.

    По завершении установки нажмите кнопку Настроить.

    Снимок экрана, демонстрирующий окно завершения установки агента Azure AD Connect Health для AD DS Azure.

    Откроется окно командной строки. PowerShell выполняет команду Register-AzureADConnectHealthADDSAgent. Войдите в Azure, когда появится соответствующий запрос.

    Снимок экрана, демонстрирующий окно входа агента Azure AD Connect Health для доменных служб Azure AD.

    После входа в систему PowerShell продолжится. По завершении вы можете закрыть PowerShell. Настройка завершена.

    На этом этапе службы должны запускаться автоматически, позволяя агенту выполнять мониторинг и сбор данных. Если не выполнены все необходимые предварительные требования, описанные в предыдущих разделах, в окне PowerShell будут отображаться предупреждения. Перед установкой агента необходимо выполнить требования. На следующем снимке экрана приведен пример этих предупреждений.

    Снимок экрана с предупреждением по поводу агента Azure AD Connect Health для настройки Azure AD DS.

    Чтобы проверить, установлен ли агент, найдите на контроллере домена следующие службы:

    • служба AD DS для Azure AD Connect Health;
    • служба наблюдения AD DS Azure AD Connect Health.

    Если вы выполнили настройку, эти службы должны работать. В ином случае, службы не будут работать до завершения настройки.

    Снимок экрана, демонстрирующий выполняющиеся службы на контроллере домена.

    Быстрая установка агента на нескольких серверах

    1. Создайте учетную запись пользователя в Microsoft Azure Active Directory. Установите защиту с помощью пароля.

    2. С помощью портала назначьте роль Владелец для этой локальной учетной записи Azure AD в Azure AD Connect Health. Выполните следующие действия. Назначьте роль всем экземплярам службы.

    3. Для установки загрузите файл MSI .exe на локальном контроллере домена.

    4. Выполните следующий сценарий. Замените параметры новой учетной записью пользователя и ее паролем.

      AdHealthAddsAgentSetup.exe /quiet
      Start-Sleep 30
      $userName = "NEWUSER@DOMAIN"
      $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
      $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
      import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
      
      Register-AzureADConnectHealthADDSAgent -Credential $myCreds
      
      

    По завершении можно удалить доступ для локальной учетной записи, выполнив одну или несколько нижеуказанных задач.

    • Удалите назначение ролей для локальной учетной записи для Azure AD Connect Health.
    • Замените пароль для локальной учетной записи.
    • Отключите локальную учетную запись Microsoft Azure Active Directory.
    • Удалите локальную учетную запись Microsoft Azure Active Directory.

    Регистрация агента с помощью PowerShell

    После установки соответствующего файла агента setup.exe можно зарегистрировать агент с помощью указанных ниже команд PowerShell в зависимости от роли. Откройте окно PowerShell и выполните соответствующую команду.

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    
    

    Примечание

    Для регистрации в национальных облаках используйте следующие командные строки:

    Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user
    

    Эти команды принимают Credential в качестве параметра для завершения регистрации в неинтерактивном режиме или для завершения регистрации на компьютере, на котором выполняется Server Core. Помните о следующем:

    • Вы можете захватить Credential в переменную PowerShell, которая передается в качестве параметра.
    • Можно указать любое удостоверение Microsoft Azure Active Directory, имеющее разрешения на регистрацию агентов и в котором отключена многофакторная проверка подлинности.
    • Глобальные администраторы имеют разрешения на регистрацию агентов по умолчанию. Также можно разрешить выполнение этого шага другим пользователям с меньшими привилегиями. Дополнительные сведения см. в статье Azure RBAC.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Настройка агентов Azure AD Connect Health для использования HTTP-прокси

    Агенты Azure AD Connect Health можно настроить на работу с HTTP-прокси.

    Примечание

    • Тип Netsh WinHttp set ProxyServerAddress не поддерживается. Чтобы выполнять веб-запросы, агент использует System.Net вместо служб HTTP Windows.
    • Настроенный адрес прокси-сервера HTTP будет использоваться для сквозной передачи зашифрованных сообщений HTTPS.
    • Прокси-серверы с проверкой подлинности (с помощью HTTPBasic) не поддерживаются.

    Изменение конфигурации прокси-сервера агента

    Чтобы настроить агент Azure AD Connect Health для использования прокси-сервера HTTP, можно выполнить следующие действия:

    • импортировать имеющиеся параметры прокси-сервера;
    • указать адреса прокси-сервера вручную;
    • очистить имеющуюся конфигурацию прокси-сервера.

    Примечание

    Чтобы обновить параметры прокси-сервера, необходимо перезапустить все службы агента Azure AD Connect Health. Выполните следующую команду:

    Restart-Service AzureADConnectHealth*

    Импорт имеющихся параметров прокси-сервера

    Параметры прокси-сервера HTTP Internet Explorer можно импортировать, чтобы агенты Azure AD Connect Health получили возможность использования этих параметров. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    

    Параметры прокси-сервера WinHTTP можно импортировать, чтобы агенты Azure AD Connect Health могли их использовать. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Задание адресов прокси-сервера в ручном режиме

    Прокси-сервер можно задать в ручном режиме. Для этого на каждом сервере с работающим агентом работоспособности выполните следующую команду PowerShell:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Ниже приведен пример:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    В этом примере:

    • Параметр address может быть именем сервера, разрешимым в DNS, или адресом IPv4.
    • Значение port можно опустить. В этом случае порт 443 используется по умолчанию.

    Очистка текущей конфигурации прокси-сервера

    Чтобы очистить текущую конфигурацию прокси-сервера, выполните следующую команду:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    Считывание текущих параметров прокси-сервера

    Текущие параметры прокси-сервера можно считать с помощью следующей команды:

    Get-AzureAdConnectHealthProxySettings
    

    Проверка подключения к службе Azure AD Connect Health

    В некоторых случаях агент Azure AD Connect Health может утратить соединение со службой Azure AD Connect Health. Это может произойти при проблемах с сетью, проблемах с разрешениями и других проблемах.

    Если агенту не удается отправить данные службе Azure AD Connect Health более 2 часов, на портале появится следующее оповещение: "Данные службы работоспособности неактуальны".

    Чтобы выяснить, может ли затронутый агент Azure AD Connect Health передавать данные в службу Azure AD Connect Health, выполните следующую команду PowerShell:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    Параметр role в настоящее время принимает следующие значения:

    • ADFS
    • Синхронизация
    • ADDS

    Примечание

    Чтобы использовать средство подключения, сначала необходимо зарегистрировать агента. Если не удается завершить регистрацию агента, убедитесь, что соблюдены все требования для Azure AD Connect Health. По умолчанию подключение проверяется в процессе регистрации агента.

    Дальнейшие действия

    Ознакомьтесь с указанными ниже статьями по этой теме.