De Microsoft Entra Verbinding maken Health-agents installeren
In dit artikel leert u hoe u de Microsoft Entra Verbinding maken Health-agents installeert en configureert.
Meer informatie over het downloaden van de agents.
Notitie
Microsoft Entra Verbinding maken Health is niet beschikbaar in de onafhankelijke Cloud van China.
Vereisten
De volgende tabel bevat vereisten voor het gebruik van Microsoft Entra Verbinding maken Health:
| Vereiste | Beschrijving |
|---|---|
| U hebt een Microsoft Entra ID P1- of P2-abonnement. | Microsoft Entra Verbinding maken Health is een functie van Microsoft Entra ID P1 of P2. Zie Registreren voor Microsoft Entra ID P1 of P2 voor meer informatie. Als u gebruik wilt maken van een gratis proefversie van 30 dagen, raadpleegt u Gratis proberen. |
| U bent een globale beheerder in Microsoft Entra-id. | Momenteel kunnen alleen globale Beheer istrator-accounts statusagents installeren en configureren. Zie Beheer van uw Microsoft Entra-directory voor meer informatie. Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u andere gebruikers in uw organisatie toegang geven tot Microsoft Entra Verbinding maken Health. Zie Azure RBAC voor Microsoft Entra Verbinding maken Health voor meer informatie. Belangrijk: Gebruik een werk- of schoolaccount om de agents te installeren. U kunt geen Microsoft-account gebruiken om de agents te installeren. Zie Registreren voor Azure als organisatie voor meer informatie. |
| De Microsoft Entra Verbinding maken Health-agent wordt op elke doelserver geïnstalleerd. | Statusagents moeten worden geïnstalleerd en geconfigureerd op doelservers, zodat ze gegevens kunnen ontvangen en bewakings- en analysemogelijkheden kunnen bieden. Als u bijvoorbeeld gegevens wilt ophalen uit uw AD FS-infrastructuur (Active Directory Federation Services), moet u de agent installeren op de AD FS-server en op de Web toepassingsproxy-server. Als u gegevens wilt ophalen uit uw on-premises AD Domain Services-infrastructuur, moet u de agent op de domeincontrollers installeren. |
| De Azure-service-eindpunten hebben uitgaande connectiviteit. | Tijdens de installatie en runtime vereist de agent verbinding met Microsoft Entra Verbinding maken Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, voegt u de uitgaande connectiviteitseindpunten toe aan een acceptatielijst. |
| Uitgaande connectiviteit is gebaseerd op IP-adressen. | Zie Azure IP-bereiken voor informatie over firewallfilters op basis van IP-adressen. |
| TLS-inspectie voor uitgaand verkeer wordt gefilterd of uitgeschakeld. | De registratiestap van de agent of het uploaden van gegevens kan mislukken als er TLS-inspectie of beëindiging is voor uitgaand verkeer op de netwerklaag. Zie TLS-inspectie instellen voor meer informatie. |
| Firewallpoorten op de server voeren de agent uit. | De agent vereist dat de volgende firewallpoorten zijn geopend, zodat deze kan communiceren met de Microsoft Entra-Verbinding maken Health-service-eindpunten: - TCP-poort 443 - TCP-poort 5671 Voor de nieuwste versie van de agent is poort 5671 niet vereist. Voer een upgrade uit naar de nieuwste versie, zodat alleen poort 443 vereist is. Zie De vereiste poorten en protocollen voor hybride identiteiten voor meer informatie. |
| Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u opgegeven websites toe. | Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u de volgende websites toe op de server waarop u de agent installeert: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - De federatieserver voor uw organisatie die wordt vertrouwd door Microsoft Entra-id (bijvoorbeeld https://sts.contoso.com). Zie Internet Explorer configureren voor meer informatie. Als u een proxy in uw netwerk hebt, raadpleegt u de opmerking die wordt weergegeven aan het einde van deze tabel. |
| PowerShell versie 5.0 of hoger is geïnstalleerd. | Windows Server 2016 bevat PowerShell-versie 5.0. |
Belangrijk
Windows Server Core biedt geen ondersteuning voor het installeren van de Microsoft Entra Verbinding maken Health-agent.
Notitie
Als u een maximaal vergrendelde en beperkte omgeving hebt, moet u meer URL's toevoegen dan de URL's in de tabellijsten voor verbeterde beveiliging van Internet Explorer. Voeg ook URL's toe die worden vermeld in de tabel in de volgende sectie.
Nieuwe versies van de agent en automatische upgrade
Als er een nieuwe versie van de statusagent wordt uitgebracht, worden alle bestaande, geïnstalleerde agents automatisch bijgewerkt.
Uitgaande connectiviteit met Azure-service-eindpunten
Tijdens de installatie en runtime moet de agent verbinding hebben met Microsoft Entra Verbinding maken Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, moet u ervoor zorgen dat de URL's in de volgende tabel niet standaard worden geblokkeerd.
Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit. Sta ze in plaats daarvan toe zoals u ander internetverkeer zou toestaan.
Deze URL's staan communicatie toe met Microsoft Entra Verbinding maken Health-service-eindpunten. Verderop in dit artikel leert u hoe u uitgaande connectiviteit kunt controleren met behulp van Test-MicrosoftEntraConnectHealthConnectivity.
| Domeinomgeving | Vereiste Azure-service-eindpunten |
|---|---|
| Algemeen publiek | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Poort: 5671 (als 5671 is geblokkeerd, valt de agent terug op 443, maar we raden u aan poort 5671 te gebruiken. Dit eindpunt is niet vereist in de nieuwste versie van de agent.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
De agents downloaden
De Microsoft Entra Verbinding maken Health-agent downloaden en installeren:
- Zorg ervoor dat u voldoet aan de vereisten voor het installeren van Microsoft Entra Verbinding maken Health.
- Aan de slag met Microsoft Entra Verbinding maken Health voor AD FS:
- Aan de slag met Microsoft Entra Verbinding maken Health voor synchronisatie:
- Download en installeer de nieuwste versie van Microsoft Entra Verbinding maken. De statusagent voor synchronisatie wordt geïnstalleerd als onderdeel van de installatie van Microsoft Entra Verbinding maken (versie 1.0.9125.0 of hoger).
- Aan de slag met Microsoft Entra Verbinding maken Health voor AD Domain Services:
De agent voor AD FS installeren
Zie Microsoft Entra Verbinding maken Health-agents voor AD FS voor informatie over het installeren en bewaken van AD FS met de Microsoft Entra Verbinding maken Health-agent.
De agent voor synchronisatie installeren
De Microsoft Entra Verbinding maken Health-agent voor synchronisatie wordt automatisch geïnstalleerd in de nieuwste versie van Microsoft Entra Verbinding maken. Als u Microsoft Entra Verbinding maken wilt gebruiken voor synchronisatie, downloadt u de nieuwste versie van Microsoft Entra Verbinding maken en installeert u deze.
Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als u de configuratie hebt voltooid, moeten de services al worden uitgevoerd. Anders worden de services gestopt totdat de configuratie is voltooid.
- Microsoft Entra Verbinding maken Agent Updater
- Microsoft Entra Verbinding maken Health Agent
Notitie
Houd er rekening mee dat u Microsoft Entra ID P1 of P2 moet hebben om Microsoft Entra Verbinding maken Health te kunnen gebruiken. Als u geen Microsoft Entra ID P1 of P2 hebt, kunt u de configuratie niet voltooien in het Microsoft Entra-beheercentrum. Zie de vereisten voor meer informatie.
Microsoft Entra Verbinding maken Health voor synchronisatie handmatig registreren
Als de registratie van de Microsoft Entra Verbinding maken Health voor synchronisatieagent mislukt nadat u Microsoft Entra Verbinding maken hebt geïnstalleerd, kunt u een PowerShell-opdracht gebruiken om de agent handmatig te registreren.
Belangrijk
Gebruik deze PowerShell-opdracht alleen als de agentregistratie mislukt nadat u Microsoft Entra Verbinding maken hebt geïnstalleerd.
Registreer de Microsoft Entra Verbinding maken Health-agent handmatig voor synchronisatie met behulp van de volgende PowerShell-opdracht. De Microsoft Entra Verbinding maken Health-services worden gestart nadat de agent is geregistreerd.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
Voor de opdracht worden de volgende parameters gebruikt:
AttributeFiltering:$true(standaard) als Microsoft Entra Verbinding maken de standaardkenmerkset niet synchroniseert en is aangepast voor het gebruik van een gefilterde kenmerkset. Gebruik anders$false.StagingMode:$false(standaard) als de Microsoft Entra-Verbinding maken-server zich niet in de faseringsmodus bevindt. Als de server is geconfigureerd voor de faseringsmodus, gebruikt u$true.
Wanneer u wordt gevraagd om verificatie, gebruikt u hetzelfde Global Beheer istrator-account (zoals admin@domain.onmicrosoft.com) dat u hebt gebruikt voor het configureren van Microsoft Entra Verbinding maken.
De agent voor AD Domain Services installeren
Als u de installatie van de agent wilt starten, dubbelklikt u op het .exe bestand dat u hebt gedownload. Selecteer Installeren in het eerste venster.
Wanneer u hierom wordt gevraagd, meldt u zich aan met een Microsoft Entra-account met machtigingen voor het registreren van de agent. Het account voor hybride identiteit Beheer istrator heeft standaard machtigingen.
Nadat u zich hebt aangemeld, wordt het installatieproces voltooid en kunt u het venster sluiten.
Op dit moment moeten de agentservices automatisch toestaan dat de agent de vereiste gegevens veilig uploadt naar de cloudservice.
Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als de configuratie is voltooid, moeten deze services worden uitgevoerd. Anders worden ze gestopt totdat de configuratie is voltooid.
- Microsoft Entra Verbinding maken Agent Updater
- Microsoft Entra Verbinding maken Health Agent
De agent snel installeren op meerdere servers
Maak een gebruikersaccount in Microsoft Entra-id. Beveilig het account met behulp van een wachtwoord.
Wijs de rol Eigenaar toe voor dit lokale Microsoft Entra-account in Microsoft Entra Verbinding maken Health met behulp van de portal. Wijs de rol toe aan alle service-exemplaren.
Download het .exe MSI-bestand op de lokale domeincontroller voor de installatie.
Voer het volgende script uit. Vervang de parameters door uw nieuwe gebruikersaccount en het bijbehorende wachtwoord.
AdHealthAddsAgentSetup.exe /quiet Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Wanneer u klaar bent, kunt u de toegang voor het lokale account verwijderen door een of meer van de volgende taken uit te voeren:
- Verwijder de roltoewijzing voor het lokale account voor Microsoft Entra Verbinding maken Health.
- Draai het wachtwoord voor het lokale account.
- Schakel het lokale Microsoft Entra-account uit.
- Verwijder het lokale Microsoft Entra-account.
De agent registreren met behulp van PowerShell
Nadat u het relevante agentbestand setup.exe hebt geïnstalleerd, kunt u de agent registreren met behulp van de volgende PowerShell-opdrachten, afhankelijk van de rol. Open PowerShell als beheerder en voer de relevante opdracht uit:
Register-MicrosoftEntraConnectHealthAgent
Notitie
Gebruik de volgende opdrachtregels om u te registreren bij onafhankelijke clouds:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Deze opdrachten accepteren Credential als parameter om de registratie niet-interactief te voltooien of om de registratie te voltooien op een computer waarop Server Core wordt uitgevoerd. Houd rekening met deze factoren:
- U kunt vastleggen
Credentialin een PowerShell-variabele die wordt doorgegeven als een parameter. - U kunt elke Microsoft Entra-identiteit opgeven die machtigingen heeft om de agents te registreren en waarvoor meervoudige verificatie niet is ingeschakeld.
- Globale beheerders hebben standaard machtigingen om de agents te registreren. U kunt ook toestaan dat identiteiten met minder bevoegdheden deze stap uitvoeren. Zie Azure RBAC voor meer informatie.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Microsoft Entra Verbinding maken Health-agents configureren voor het gebruik van HTTP-proxy
U kunt Microsoft Entra Verbinding maken Health-agents configureren voor gebruik met een HTTP-proxy.
Notitie
Netsh WinHttp set ProxyServerAddresswordt niet ondersteund. De agent gebruikt System.Net in plaats van Windows HTTP Services om webaanvragen te doen.- Het geconfigureerde HTTP-proxyadres wordt gebruikt om versleutelde HTTPS-berichten door te geven.
- Geverifieerde proxy's (met HTTPBasic) worden niet ondersteund.
De configuratie van de agentproxy wijzigen
Als u de Microsoft Entra Verbinding maken Health-agent wilt configureren voor het gebruik van een HTTP-proxy, kunt u het volgende doen:
- Bestaande proxy-instellingen importeren.
- Geef handmatig proxyadressen op.
- Wis de bestaande proxyconfiguratie.
Notitie
Als u de proxy-instellingen wilt bijwerken, moet u alle Microsoft Entra Verbinding maken Health-agentservices opnieuw starten. Voer de volgende opdracht uit om alle agents opnieuw op te starten:
Restart-Service AzureADConnectHealthAgent*
Bestaande proxy-instellingen importeren
U kunt HTTP-proxyinstellingen van Internet Explorer importeren, zodat Microsoft Entra Verbinding maken Health-agents de instellingen kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
U kunt WinHTTP-proxyinstellingen importeren zodat de Microsoft Entra Verbinding maken Health-agents deze kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Proxyadressen handmatig opgeven
U kunt handmatig een proxyserver opgeven. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Hier volgt een voorbeeld:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
In dit voorbeeld:
- De
addressinstelling kan een DNS-omzetbare servernaam of een IPv4-adres zijn. - Je kunt weglaten
port. Als u dit doet, is 443 de standaardpoort.
De bestaande proxyconfiguratie wissen
U kunt de bestaande proxyconfiguratie wissen door de volgende opdracht uit te voeren:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
De huidige proxyinstellingen lezen
U kunt de huidige proxy-instellingen lezen door de volgende opdracht uit te voeren:
Get-MicrosoftEntraConnectHealthProxySettings
Connectiviteit testen met de Microsoft Entra Verbinding maken Health-service
Af en toe verliest de Microsoft Entra Verbinding maken Health-agent de verbinding met de Microsoft Entra Verbinding maken Health-service. Oorzaken van dit verbindingsverlies kunnen netwerkproblemen, machtigingsproblemen en verschillende andere problemen zijn.
Als de agent langer dan twee uur geen gegevens naar de Microsoft Entra Verbinding maken Health-service kan verzenden, wordt de volgende waarschuwing weergegeven in de portal: Health Service-gegevens zijn niet up-to-date.
U kunt nagaan of de betreffende Microsoft Entra Verbinding maken Health-agent gegevens kan uploaden naar de Microsoft Entra Verbinding maken Health-service door de volgende PowerShell-opdracht uit te voeren:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
De Role parameter gebruikt momenteel de volgende waarden:
ADFSSyncADDS
Notitie
Als u het connectiviteitsprogramma wilt gebruiken, moet u eerst de agent registreren. Als u de registratie van de agent niet kunt voltooien, moet u ervoor zorgen dat u voldoet aan alle vereisten voor Microsoft Entra Verbinding maken Health. Verbinding maken iviteit wordt standaard getest tijdens de registratie van de agent.
Volgende stappen
Bekijk de volgende gerelateerde artikelen:
- Microsoft Entra Verbinding maken Health
- Microsoft Entra Verbinding maken Health-bewerkingen
- Microsoft Entra Verbinding maken Health gebruiken met AD FS
- Microsoft Entra Verbinding maken Health gebruiken voor synchronisatie
- Microsoft Entra Verbinding maken Health gebruiken met AD Domain Services
- Veelgestelde vragen over Microsoft Entra Verbinding maken Health
- Versiegeschiedenis van Microsoft Entra Verbinding maken Health