Delen via


De Microsoft Entra Connect Health-agents installeren

In dit artikel leert u hoe u de Microsoft Entra Connect Health-agents installeert en configureert.

Meer informatie over het downloaden van de agents.

Notitie

Microsoft Entra Connect Health is niet beschikbaar in de onafhankelijke Cloud van China.

Vereisten

De volgende tabel bevat vereisten voor het gebruik van Microsoft Entra Connect Health:

Vereiste Beschrijving
U hebt een Microsoft Entra ID P1- of P2-abonnement. Microsoft Entra Connect Health is een functie van Microsoft Entra ID P1 of P2. Zie Registreren voor Microsoft Entra ID P1 of P2 voor meer informatie.

Als u gebruik wilt maken van een gratis proefversie van 30 dagen, raadpleegt u Gratis proberen.
U bent een globale beheerder in Microsoft Entra-id. Momenteel kunnen alleen globale beheerdersaccounts statusagents installeren en configureren. Zie Uw Microsoft Entra-directory beheren voor meer informatie.

Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u andere gebruikers in uw organisatie toegang geven tot Microsoft Entra Connect Health. Zie Azure RBAC voor Microsoft Entra Connect Health voor meer informatie.

Belangrijk: Gebruik een werk- of schoolaccount om de agents te installeren. U kunt geen Microsoft-account gebruiken om de agents te installeren. Zie Registreren voor Azure als organisatie voor meer informatie.
De Microsoft Entra Connect Health-agent wordt op elke doelserver geïnstalleerd. Statusagents moeten worden geïnstalleerd en geconfigureerd op doelservers, zodat ze gegevens kunnen ontvangen en bewakings- en analysemogelijkheden kunnen bieden.

Als u bijvoorbeeld gegevens wilt ophalen uit uw AD FS-infrastructuur (Active Directory Federation Services), moet u de agent installeren op de AD FS-server en op de Web toepassingsproxy-server. Als u gegevens wilt ophalen uit uw on-premises AD Domain Services-infrastructuur, moet u de agent op de domeincontrollers installeren.
De Azure-service-eindpunten hebben uitgaande connectiviteit. Tijdens de installatie en runtime vereist de agent verbinding met Microsoft Entra Connect Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, voegt u de uitgaande connectiviteitseindpunten toe aan een acceptatielijst.
Uitgaande connectiviteit is gebaseerd op IP-adressen. Zie Azure IP-bereiken voor informatie over firewallfilters op basis van IP-adressen.
TLS-inspectie voor uitgaand verkeer wordt gefilterd of uitgeschakeld. De registratiestap van de agent of het uploaden van gegevens kan mislukken als er TLS-inspectie of beëindiging is voor uitgaand verkeer op de netwerklaag. Zie TLS-inspectie instellen voor meer informatie.
Firewallpoorten op de server voeren de agent uit. Voor de agent moeten de volgende firewallpoorten zijn geopend, zodat deze kan communiceren met de Microsoft Entra Connect Health-service-eindpunten:
- TCP-poort 443
- TCP-poort 5671

Voor de nieuwste versie van de agent is poort 5671 niet vereist. Voer een upgrade uit naar de nieuwste versie, zodat alleen poort 443 vereist is. Zie De vereiste poorten en protocollen voor hybride identiteiten voor meer informatie.
Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u opgegeven websites toe. Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u de volgende websites toe op de server waarop u de agent installeert:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
- De federatieserver voor uw organisatie die wordt vertrouwd door Microsoft Entra-id (bijvoorbeeld https://sts.contoso.com).

Zie Internet Explorer configureren voor meer informatie. Als u een proxy in uw netwerk hebt, raadpleegt u de opmerking die wordt weergegeven aan het einde van deze tabel.
PowerShell versie 5.0 of hoger is geïnstalleerd. Windows Server 2016 bevat PowerShell-versie 5.0.

Belangrijk

Windows Server Core biedt geen ondersteuning voor het installeren van de Microsoft Entra Connect Health-agent.

Notitie

Als u een maximaal vergrendelde en beperkte omgeving hebt, moet u meer URL's toevoegen dan de URL's in de tabellijsten voor verbeterde beveiliging van Internet Explorer. Voeg ook URL's toe die worden vermeld in de tabel in de volgende sectie.

Belangrijk

Als u Microsoft Entra Connect Sync hebt geïnstalleerd met behulp van een account met de rol hybride beheerder, heeft de agent de status Uitgeschakeld. Als u de agent wilt activeren, moet u deze opnieuw installeren met een account dat een globale beheerder is.

Nieuwe versies van de agent en automatische upgrade

Als er een nieuwe versie van de statusagent wordt uitgebracht, worden alle bestaande, geïnstalleerde agents automatisch bijgewerkt.

Uitgaande connectiviteit met Azure-service-eindpunten

Tijdens de installatie en runtime moet de agent verbinding hebben met Microsoft Entra Connect Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, moet u ervoor zorgen dat de URL's in de volgende tabel niet standaard worden geblokkeerd.

Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit. Sta ze in plaats daarvan toe zoals u ander internetverkeer zou toestaan.

Deze URL's staan communicatie met Microsoft Entra Connect Health-service-eindpunten toe. Verderop in dit artikel leert u hoe u uitgaande connectiviteit kunt controleren met behulp van Test-MicrosoftEntraConnectHealthConnectivity.

Domeinomgeving Vereiste Azure-service-eindpunten
Algemeen publiek - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net - Poort: 5671 (als 5671 is geblokkeerd, valt de agent terug op 443, maar we raden u aan poort 5671 te gebruiken. Dit eindpunt is niet vereist in de nieuwste versie van de agent.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

De agents downloaden

De Microsoft Entra Connect Health-agent downloaden en installeren:

De agent voor AD FS installeren

Zie Microsoft Entra Connect Health-agents voor AD FS voor AD FS voor informatie over het installeren en bewaken van AD FS met de Microsoft Entra Connect Health-agent.

De agent voor synchronisatie installeren

De Microsoft Entra Connect Health-agent voor synchronisatie wordt automatisch geïnstalleerd in de nieuwste versie van Microsoft Entra Connect. Als u Microsoft Entra Connect wilt gebruiken voor synchronisatie, downloadt u de nieuwste versie van Microsoft Entra Connect en installeert u deze.

Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als u de configuratie hebt voltooid, moeten de services al worden uitgevoerd. Anders worden de services gestopt totdat de configuratie is voltooid.

  • Updater voor Microsoft Entra Connect-agent
  • Microsoft Entra Connect Health Agent

Schermopname van de actieve Microsoft Entra Connect Health voor synchronisatieservices op de server.

Notitie

Houd er rekening mee dat u Microsoft Entra ID P1 of P2 moet hebben om Microsoft Entra Connect Health te kunnen gebruiken. Als u geen Microsoft Entra ID P1 of P2 hebt, kunt u de configuratie niet voltooien in het Microsoft Entra-beheercentrum. Zie de vereisten voor meer informatie.

Microsoft Entra Connect Health handmatig registreren voor synchronisatie

Als de registratie van de Microsoft Entra Connect Health voor synchronisatieagent mislukt nadat u Microsoft Entra Connect hebt geïnstalleerd, kunt u een PowerShell-opdracht gebruiken om de agent handmatig te registreren.

Belangrijk

Gebruik deze PowerShell-opdracht alleen als de agentregistratie mislukt nadat u Microsoft Entra Connect hebt geïnstalleerd.

Registreer de Microsoft Entra Connect Health-agent handmatig voor synchronisatie met behulp van de volgende PowerShell-opdracht. De Microsoft Entra Connect Health-services worden gestart nadat de agent is geregistreerd.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Voor de opdracht worden de volgende parameters gebruikt:

  • AttributeFiltering: $true (standaard) als Microsoft Entra Connect de standaardkenmerkset niet synchroniseert en is aangepast om een gefilterde kenmerkset te gebruiken. Gebruik anders $false.
  • StagingMode: $false (standaard) als de Microsoft Entra Connect-server zich niet in de faseringsmodus bevindt. Als de server is geconfigureerd voor de faseringsmodus, gebruikt u $true.

Wanneer u wordt gevraagd om verificatie, gebruikt u hetzelfde globale beheerdersaccount (zoals admin@domain.onmicrosoft.com) dat u hebt gebruikt om Microsoft Entra Connect te configureren.

De agent voor AD Domain Services installeren

Als u de installatie van de agent wilt starten, dubbelklikt u op het .exe bestand dat u hebt gedownload. Selecteer Installeren in het eerste venster.

Schermopname van de Microsoft Entra Connect Health-agent voor AD DS-installatievenster.

Wanneer u hierom wordt gevraagd, meldt u zich aan met een Microsoft Entra-account met machtigingen voor het registreren van de agent. Het account Hybrid Identity Administrator heeft standaard machtigingen.

Schermopname van het aanmeldingsvenster voor Microsoft Entra Connect Health AD DS.

Nadat u zich hebt aangemeld, wordt het installatieproces voltooid en kunt u het venster sluiten.

Schermopname van het bevestigingsbericht voor de installatie van de Microsoft Entra Connect Health AD DS-agent.

Op dit moment moeten de agentservices automatisch toestaan dat de agent de vereiste gegevens veilig uploadt naar de cloudservice.

Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als de configuratie is voltooid, moeten deze services worden uitgevoerd. Anders worden ze gestopt totdat de configuratie is voltooid.

  • Updater voor Microsoft Entra Connect-agent
  • Microsoft Entra Connect Health Agent

Schermopname van Microsoft Entra Connect Health AD DS-services.

De agent snel installeren op meerdere servers

  1. Maak een gebruikersaccount in Microsoft Entra-id. Beveilig het account met behulp van een wachtwoord.

  2. Wijs de rol Eigenaar toe voor dit lokale Microsoft Entra-account in Microsoft Entra Connect Health met behulp van de portal. Wijs de rol toe aan alle service-exemplaren.

  3. Download het .exe MSI-bestand op de lokale domeincontroller voor de installatie.

  4. Voer het volgende script uit. Vervang de parameters door uw nieuwe gebruikersaccount en het bijbehorende wachtwoord.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

Wanneer u klaar bent, kunt u de toegang voor het lokale account verwijderen door een of meer van de volgende taken uit te voeren:

  • Verwijder de roltoewijzing voor het lokale account voor Microsoft Entra Connect Health.
  • Draai het wachtwoord voor het lokale account.
  • Schakel het lokale Microsoft Entra-account uit.
  • Verwijder het lokale Microsoft Entra-account.

De agent registreren met behulp van PowerShell

Nadat u het relevante agentbestand setup.exe hebt geïnstalleerd, kunt u de agent registreren met behulp van de volgende PowerShell-opdrachten, afhankelijk van de rol. Open PowerShell als beheerder en voer de relevante opdracht uit:

Register-MicrosoftEntraConnectHealthAgent

Notitie

Gebruik de volgende opdrachtregels om u te registreren bij onafhankelijke clouds:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Deze opdrachten accepteren Credential als parameter om de registratie niet-interactief te voltooien of om de registratie te voltooien op een computer waarop Server Core wordt uitgevoerd. Houd rekening met deze factoren:

  • U kunt vastleggen Credential in een PowerShell-variabele die wordt doorgegeven als een parameter.
  • U kunt elke Microsoft Entra-identiteit opgeven die machtigingen heeft om de agents te registreren en waarvoor meervoudige verificatie niet is ingeschakeld.
  • Globale beheerders hebben standaard machtigingen om de agents te registreren. U kunt ook toestaan dat identiteiten met minder bevoegdheden deze stap uitvoeren. Zie Azure RBAC voor meer informatie.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Microsoft Entra Connect Health-agents configureren voor het gebruik van HTTP-proxy

U kunt Microsoft Entra Connect Health-agents configureren voor gebruik met een HTTP-proxy.

Notitie

  • Netsh WinHttp set ProxyServerAddress wordt niet ondersteund. De agent gebruikt System.Net in plaats van Windows HTTP Services om webaanvragen te doen.
  • Het geconfigureerde HTTP-proxyadres wordt gebruikt om versleutelde HTTPS-berichten door te geven.
  • Geverifieerde proxy's (met HTTPBasic) worden niet ondersteund.

De configuratie van de agentproxy wijzigen

Als u de Microsoft Entra Connect Health-agent wilt configureren voor het gebruik van een HTTP-proxy, kunt u het volgende doen:

  • Bestaande proxy-instellingen importeren.
  • Geef handmatig proxyadressen op.
  • Wis de bestaande proxyconfiguratie.

Notitie

Als u de proxyinstellingen wilt bijwerken, moet u alle Microsoft Entra Connect Health-agentservices opnieuw starten. Voer de volgende opdracht uit om alle agents opnieuw op te starten:

Restart-Service AzureADConnectHealthAgent*

Bestaande proxy-instellingen importeren

U kunt HTTP-proxyinstellingen van Internet Explorer importeren, zodat Microsoft Entra Connect Health-agents de instellingen kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

U kunt WinHTTP-proxyinstellingen importeren zodat de Microsoft Entra Connect Health-agents deze kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Proxyadressen handmatig opgeven

U kunt handmatig een proxyserver opgeven. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Hier volgt een voorbeeld:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

In dit voorbeeld:

  • De address instelling kan een DNS-omzetbare servernaam of een IPv4-adres zijn.
  • Je kunt weglaten port. Als u dit doet, is 443 de standaardpoort.

De bestaande proxyconfiguratie wissen

U kunt de bestaande proxyconfiguratie wissen door de volgende opdracht uit te voeren:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

De huidige proxyinstellingen lezen

U kunt de huidige proxy-instellingen lezen door de volgende opdracht uit te voeren:

Get-MicrosoftEntraConnectHealthProxySettings

Connectiviteit met de Microsoft Entra Connect Health-service testen

Af en toe verliest de Microsoft Entra Connect Health-agent de verbinding met de Microsoft Entra Connect Health-service. Oorzaken van dit verbindingsverlies kunnen netwerkproblemen, machtigingsproblemen en verschillende andere problemen zijn.

Als de agent langer dan twee uur geen gegevens naar de Microsoft Entra Connect Health-service kan verzenden, wordt de volgende waarschuwing weergegeven in de portal: Health Service-gegevens zijn niet up-to-date.

U kunt nagaan of de betrokken Microsoft Entra Connect Health-agent gegevens kan uploaden naar de Microsoft Entra Connect Health-service door de volgende PowerShell-opdracht uit te voeren:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

De Role parameter gebruikt momenteel de volgende waarden:

  • ADFS
  • Sync
  • ADDS

Notitie

Als u het connectiviteitsprogramma wilt gebruiken, moet u eerst de agent registreren. Als u de registratie van de agent niet kunt voltooien, moet u ervoor zorgen dat u voldoet aan alle vereisten voor Microsoft Entra Connect Health. De connectiviteit wordt standaard getest tijdens de registratie van de agent.

Volgende stappen

Bekijk de volgende gerelateerde artikelen: