Installare e configurare Azure Active Directory (Azure AD) Connect Health

Azure Active Directory (Azure AD) Connect Health è un sistema di monitoraggio pensato per tenere sotto controllo le sincronizzazioni effettate con il tool Azure AD Connect tra il nostro ambiente on-premises e Microsoft 365 e gli altri ambienti online che usano Azure AD per l’autenticazione.

Il tool è pensato per monitorare le sincronizzazioni sia per gli ambienti che usano solo Active Directory Directory Services (AD DS) sia per quelli che usano anche gli Active Directory Federation Services (AD FS). Grazie a questo tool è possibile essere avvisati di eventuali malfunzionamenti di Azure AD Connect.

Azure AD Connect Health consente di monitorare e ottenere informazioni dettagliate sull’infrastruttura di gestione delle identità locali, garantendo l’affidabilità delle sincronizzazioni verso Azure AD. Azure AD Connect Health per AD FS supporta AD FS 2.0 su Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019.

Mentre per utilizzare Azure AD Connect non è necessaria alcuna licenza, per utilizzare Azure AD Connect Health è necessario disporre di una licenza di Azure AD Premium P1.

Figura 1: Funzionamento di Azure AD Connect Health

Per utilizzare Azure AD Connect Health è necessario collegarsi al portale di Azure AD Connect Health e installare gli agenti che sono disponibili per il download, come mostrato come nella figura sotto. Ci sono diversi agenti disponibili, a seconda che abbiate solo i servizi di dominio di Active Directory o abbiate anche installato i Federation Services.

Figura 2: Schermata iniziale del portale di Azure AD Connect Health e download degli agent

Installazione dell’agent di Azure AD Connect Health per servizi di dominio Active Directory (AD DS)

Dopo aver scaricato l’agent di Azure AD Connect Health per servizi di dominio Active Directory (AD DS) dal link https://go.microsoft.com/fwlink/?LinkID=820540 procedete all’installazione seguendo i passaggi mostrati di seguito:

Figura 3: Installazione di Azure AD Connect Health per Active Directory Directory Services (AD DS)

Figura 4: Installazione di Azure AD Connect Health per Active Directory Directory Services (AD DS)

Figura 5: Completamento dell’installazione di Azure AD Connect Health per Active Directory Directory Services (AD DS)

Una volta completata l’installazione, fare clic su Configura ora. Viene avviato un prompt dei comandi PowerShell che esegue la cmdlet Register-AzureADConnectHealthADDSAgent. Quando viene richiesto l’accesso ad Azure, effettuate l’accesso Utilizzando le credenziali di un Global admin.

Figura 6: Configurazione dell’agent di Azure AD Connect Health

Assicuratevi che l’installazione sia stata completata con successo ed eventualmente date un’occhiata al log nel caso ci siano stati dei problemi durante l’installazione.

Figura 7: Installazione dell’agent di Azure AD Connect Health completata con successo

A questo punto, i servizi dovrebbero venire avviati automaticamente, consentendo all’agente di monitorare e raccogliere i dati. Per verificare che l’agente sia stato installato, aprite la console dei servizi e verificate che siano in esecuzione i seguenti servizi:

  • Azure AD Connect Health AD DS Insights Service
  • Azure AD Connect Health AD DS Monitoring Service

Figura 8: Servizi utilizzati da Azure AD Connect Health

Per maggiori dettagli su l’installazione dell’agent potete far riferimento alla pagina ufficiale https://docs.microsoft.com/it-it/azure/active-directory/hybrid/how-to-connect-health-agent-install#installing-the-azure-ad-connect-health-agent-for-ad-ds dove viene spiegata anche la procedura per poterlo fare tramite PowerShell o per eventualmente impostare un proxy nel caso la navigazione in internet sia disponibile solo tramite proxy.

Dal portale di Azure AD Connect Health sarà possibile verificare l’avvenuta installazione dell’agent, come mostrato nella figura sotto:

Figura 9: Nel portale di Azure AD Connect è visibile la connessione verso l’agent installato

Cliccando sul nome della connessione sarà possibile vedere i dettagli, lo stato di replica di Azure AD Connect ed eventualmente monitorare gli alert notificati.

Figura 10: Informazioni relative all’agent di Azure AD Connect Health installato

Dalle proprietà della connessione sarà poi possibile anche ricevere ulteriori informazioni in merito ai diversi agent installati, se ne avete installato più di uno, e come mostrato nella figura sotto è possibile verificare i domain controller, i domini, i siti e i FSMO roles installati sulla macchina.

Figura 11: Informazioni relativi al dominio monitorato e ai domain controller

Installare l’agente di Azure AD Connect Health per AD FS

Dopo aver scaricato l’agent di Azure AD Connect Health per i servizi di dominio Active Directory Federation Services (AD FS) dal link https://go.microsoft.com/fwlink/?LinkID=518973 procedete all’installazione seguendo i passaggi mostrati di seguito. Il server AD FS deve essere diverso dal server di sincronizzazione. NON installare l’agente AD FS nel server dove avete installato Azure AD Connect.

Figura 12: Installazione dell’agent di Azure AD Connect Health per Servizi di dominio Active Directory Federation Services

Figura 13: Installazione dell’agent di Azure AD Connect Health per Servizi di dominio Active Directory Federation Services

Una volta completata l’installazione, fate clic su Configura ora.

Figura 14: Installazione dell’agent di Azure AD Connect Health per Servizi di dominio Active Directory Federation Services completata

Viene visualizzata una finestra di PowerShell per l’avvio del processo di registrazione dell’agent. Quando richiesto, accedere con un account Azure AD autorizzato ad eseguire la registrazione dell’agente. Per impostazione predefinita, l’account Global Admin ha le autorizzazioni necessarie.

Figura 15: Configurazione dell’agent di Azure AD Connect Health

A questo punto, i servizi dell’agent vengono avviati automaticamente, consentendo all’agent di caricare i dati necessari nel servizio cloud di Azure AD Connect Health in modo sicuro.

Figura 16: Installazione dell’agent di Azure AD Connect Health completata, ma con dei warning

Come mostrato nella schermata precedente, l’installazione è stata completata ma ci sono stati alcuni messaggi di warning. Uno dei messaggi notificati è che non è stato abilitato l’Audit sui Federation Services. Per poterlo fare vi basterà aprire un COMMAND Prompt (non usate PowerShell) con privilegi elevati e lanciare il comando:

Figura 17: Abilitazione dei log per i Federation Services

Per verificare che l’agente sia stato installato, cercate i servizi seguenti nel vostro Federation Server:

  • Azure AD Connect Health AD FS Diagnostics Service
  • Azure AD Connect Health AD FS Insights Service
  • Azure AD Connect Health AD FS Monitoring Service

Figura 18: Servizi installati nel Federation Server

Per poter usare questa funzionalità per raccogliere dati e analizzarli, l’agent di Azure AD Connect Health deve poter accedere alle informazioni presenti nei log di controllo di AD FS. Questi log non sono abilitati per impostazione predefinita. Sui Federation Server (non è necessario farlo sui Web Application Proxy) aprite la console della Local Security Policy e da Security Settings à Local Policies à User Rights Assignment selezionate Generate security audits. Verificate che sia elencato l’account del servizio ADFS. Se l’account non è presente, fate clic su Aggiungi utente o gruppo, quindi aggiungete l’account del servizio AD FS all’elenco e fare clic su OK.

Figura 19: Aggiunta dell’account di servizio di AD FS per la generazione degli audit di security

Aprite la console di gestione di Active Directory Federation Services e nel riquadro Actions fate clic su Edit Federation Service Properties. Nella Scheda Events aggiungete i segni di spunta su Success audits e Failure audits e fate clic su OK.

Figura 20: Modifica delle configurazioni degli eventi in AD FS

Per maggiori dettagli su l’installazione dell’ agent in AD FS potete far riferimento alla pagina ufficiale https://docs.microsoft.com/it-it/azure/active-directory/hybrid/how-to-connect-health-agent-install#installing-the-azure-ad-connect-health-agent-for-ad-fs

Dal portale di Azure AD Connect Health sarà possibile verificare l’avvenuta installazione dell’ agent, come mostrato nella figura sotto. Nel giro di pochissimo tempo saranno disponibili le informazioni relative all’installazione dell’ agent e come si può vedere nel mio caso sono presenti alcuni Alerts.

Figura 21: Informazioni relative ad Azure AD Connect Health per AD FS

Cliccando sul nome del Federation server a cui fa riferimento l’agent installato sarà possibile verificare quelli che sono gli Active Alerts.

Figura 22: Alerts attivi nel portale di Azure AD Connect Health

Cliccate sugli Alert per conoscere il motivo della problematica e per sapere anche come è possibile risolverla. Nella figura sotto viene mostrato l’alert che ho ricevuto e anche tutte le procedure per poter porre rimedio alla problematica.

Figura 23: Problematica e relativa risoluzione segnalati ad Azure AD Connect Health

I Global Administrator ricevono in maniera predefinita anche per posta elettronica tutti gli alert che sono segnalati da Azure AD Connect Health, come mostrato nella figura sotto:

Figura 24: Alert segnalato da Azure AD Connect Heatlh

Dopo aver ricevuto l’Alert ho proceduto ad apportare le configurazioni segnalate, come mostrato nella figura sotto:

Figura 25: Esecuzione delle modifiche alla configurazione segnalate da Azure AD Connect Heatlh

Se tutte le configurazioni saranno corrette, dopo pochi minuti il portale vi segnalerà che non ci sono più al momento Alerts attivi.

Figura 26: Il portale di Azure AD Connect Health segnala che non ci sono problemi

Conclusioni

Azure Active Directory (Azure AD) Connect Health permette di tenere sotto controllo le identità ibride ed in particolare serve a monitorare le attività di sincronizzazione del tool Azure AD Connect. Questo sistema di monitoraggio aumenta l’affidabilità dello strumento Azure AD Connect che mantiene una connessione stabile verso Microsoft 36 e i Microsoft Online Services. Azure AD Connect Health può essere utilizzato per visualizzare alert, per monitorare le performance e le statistiche di utilizzo del tool di sincronizzazione.