De Microsoft Entra Connect Health-agents installeren
In dit artikel leert u hoe u de Microsoft Entra Connect Health-agents installeert en configureert.
Meer informatie over het downloaden van de agents.
Notitie
Microsoft Entra Connect Health is niet beschikbaar in de onafhankelijke Cloud van China.
Eisen
De volgende tabel bevat vereisten voor het gebruik van Microsoft Entra Connect Health:
| Eis | Beschrijving |
|---|---|
| U hebt een Microsoft Entra ID P1- of P2-abonnement. | Microsoft Entra Connect Health is een functie van Microsoft Entra ID P1 of P2. Zie Registreren voor Microsoft Entra ID P1 of P2 voor meer informatie. Zie Een proefversie van 30 dagen starten om een gratis proefversie van 30 dagen te starten. |
| U bent een globale beheerder in Microsoft Entra-id. | Momenteel kunnen alleen globale beheerdersaccounts statusagents installeren en configureren. Zie Uw Microsoft Entra-directory beheren voor meer informatie. Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u andere gebruikers in uw organisatie toegang geven tot Microsoft Entra Connect Health. Zie Azure RBAC voor Microsoft Entra Connect Health voor meer informatie. Belangrijk: Gebruik een werk- of schoolaccount om de agents te installeren. U kunt geen Microsoft-account gebruiken om de agents te installeren. Zie Registreren voor Azure als organisatie voor meer informatie. |
| De Microsoft Entra Connect Health-agent wordt op elke doelserver geïnstalleerd. | Statusagents moeten worden geïnstalleerd en geconfigureerd op doelservers, zodat ze gegevens kunnen ontvangen en bewakings- en analysemogelijkheden kunnen bieden. Als u bijvoorbeeld gegevens wilt ophalen uit uw AD FS-infrastructuur (Active Directory Federation Services), moet u de agent installeren op de AD FS-server en op de Web toepassingsproxy-server. Als u gegevens wilt ophalen uit uw on-premises AD Domain Services-infrastructuur, moet u de agent op de domeincontrollers installeren. |
| De Azure-service-eindpunten hebben uitgaande connectiviteit. | Tijdens de installatie en runtime vereist de agent verbinding met Microsoft Entra Connect Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, voegt u de uitgaande connectiviteitseindpunten toe aan een acceptatielijst. |
| Uitgaande connectiviteit is gebaseerd op IP-adressen. | Zie Azure IP-bereiken voor informatie over firewallfilters op basis van IP-adressen. |
| TLS-inspectie voor uitgaand verkeer wordt gefilterd of uitgeschakeld. | De registratiestap van de agent of het uploaden van gegevens kan mislukken als er TLS-inspectie of beëindiging is voor uitgaand verkeer op de netwerklaag. Zie TLS-inspectie instellen voor meer informatie. |
| Firewallpoorten op de server voeren de agent uit. | Voor de agent moeten de volgende firewallpoorten zijn geopend, zodat deze kan communiceren met de Microsoft Entra Connect Health-service-eindpunten: - TCP-poort 443 - TCP-poort 5671 Voor de nieuwste versie van de agent is poort 5671 niet vereist. Voer een upgrade uit naar de nieuwste versie, zodat alleen poort 443 vereist is. Zie De vereiste poorten en protocollen voor hybride identiteiten voor meer informatie. |
| Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u opgegeven websites toe. | Als verbeterde beveiliging van Internet Explorer is ingeschakeld, staat u de volgende websites toe op de server waarop u de agent installeert: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - De federatieserver voor uw organisatie die wordt vertrouwd door Microsoft Entra-id (bijvoorbeeld https://sts.contoso.com). Zie Internet Explorer configureren voor meer informatie. Als u een proxy in uw netwerk hebt, raadpleegt u de opmerking die wordt weergegeven aan het einde van deze tabel. |
| PowerShell versie 5.0 of hoger is geïnstalleerd. | Windows Server 2016 bevat PowerShell-versie 5.0. |
Belangrijk
Windows Server Core biedt geen ondersteuning voor het installeren van de Microsoft Entra Connect Health-agent.
Notitie
Als u een maximaal vergrendelde en beperkte omgeving hebt, moet u meer URL's toevoegen dan de URL's in de tabellijsten voor verbeterde beveiliging van Internet Explorer. Voeg ook URL's toe die worden vermeld in de tabel in de volgende sectie.
Belangrijk
Als u Microsoft Entra Connect Sync hebt geïnstalleerd met behulp van een account met de rol hybride beheerder, heeft de agent de status Uitgeschakeld. Als u de agent wilt activeren, moet u deze opnieuw installeren met een account dat een globale beheerder is.
Nieuwe versies van de agent en automatische upgrade
Als er een nieuwe versie van de statusagent wordt uitgebracht, worden alle bestaande, geïnstalleerde agents automatisch bijgewerkt.
Uitgaande connectiviteit met Azure-service-eindpunten
Tijdens de installatie en runtime moet de agent verbinding hebben met Microsoft Entra Connect Health-service-eindpunten. Als firewalls uitgaande connectiviteit blokkeren, moet u ervoor zorgen dat de URL's in de volgende tabel niet standaard worden geblokkeerd.
Schakel beveiligingsbewaking of -inspectie van deze URL's niet uit. Sta ze in plaats daarvan toe zoals u ander internetverkeer zou toestaan.
Deze URL's staan communicatie met Microsoft Entra Connect Health-service-eindpunten toe. Verderop in dit artikel leert u hoe u uitgaande connectiviteit kunt controleren met behulp van Test-MicrosoftEntraConnectHealthConnectivity.
| Domeinomgeving | Vereiste Azure-service-eindpunten |
|---|---|
| Algemeen publiek | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Poort: 5671 (als 5671 is geblokkeerd, valt de agent terug op 443, maar we raden u aan poort 5671 te gebruiken. Dit eindpunt is niet vereist in de nieuwste versie van de agent.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
De agents downloaden
De Microsoft Entra Connect Health-agent downloaden en installeren:
- Zorg ervoor dat u voldoet aan de vereisten voor het installeren van Microsoft Entra Connect Health.
- Aan de slag met Microsoft Entra Connect Health voor AD FS:
- Aan de slag met Microsoft Entra Connect Health voor synchronisatie:
- Download en installeer de nieuwste versie van Microsoft Entra Connect. De statusagent voor synchronisatie wordt geïnstalleerd als onderdeel van de Microsoft Entra Connect-installatie (versie 1.0.9125.0 of hoger).
- Aan de slag met Microsoft Entra Connect Health voor AD Domain Services:
De agent voor AD FS installeren
Zie Microsoft Entra Connect Health-agents voor AD FS voor AD FS voor informatie over het installeren en bewaken van AD FS met de Microsoft Entra Connect Health-agent.
De agent voor synchronisatie installeren
De Microsoft Entra Connect Health-agent voor synchronisatie wordt automatisch geïnstalleerd in de nieuwste versie van Microsoft Entra Connect. Als u Microsoft Entra Connect wilt gebruiken voor synchronisatie, downloadt u de nieuwste versie van Microsoft Entra Connect en installeert u deze.
Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als u de configuratie hebt voltooid, moeten de services al worden uitgevoerd. Anders worden de services gestopt totdat de configuratie is voltooid.
- Updater voor Microsoft Entra Connect-agent
- Microsoft Entra Connect Health Agent
Notitie
Houd er rekening mee dat u Microsoft Entra ID P1 of P2 moet hebben om Microsoft Entra Connect Health te kunnen gebruiken. Als u geen Microsoft Entra ID P1 of P2 hebt, kunt u de configuratie niet voltooien in het Microsoft Entra-beheercentrum. Zie de vereisten voor meer informatie.
Microsoft Entra Connect Health handmatig registreren voor synchronisatie
Als de registratie van de Microsoft Entra Connect Health voor synchronisatieagent mislukt nadat u Microsoft Entra Connect hebt geïnstalleerd, kunt u een PowerShell-opdracht gebruiken om de agent handmatig te registreren.
Belangrijk
Gebruik deze PowerShell-opdracht alleen als de agentregistratie mislukt nadat u Microsoft Entra Connect hebt geïnstalleerd.
Registreer de Microsoft Entra Connect Health-agent handmatig voor synchronisatie met behulp van de volgende PowerShell-opdracht. De Microsoft Entra Connect Health-services worden gestart nadat de agent is geregistreerd.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
De opdracht heeft de volgende parameters:
AttributeFiltering:$true(standaard) als Microsoft Entra Connect de standaardkenmerkset niet synchroniseert en is aangepast om een gefilterde kenmerkset te gebruiken. Gebruik anders$false.StagingMode:$false(standaard) als de Microsoft Entra Connect-server zich niet in de faseringsmodus bevindt. Als de server is geconfigureerd voor de faseringsmodus, gebruikt u$true.
Wanneer u wordt gevraagd om verificatie, gebruikt u hetzelfde globale beheerdersaccount (zoals admin@domain.onmicrosoft.com) dat u hebt gebruikt om Microsoft Entra Connect te configureren.
De agent voor AD Domain Services installeren
Als u de installatie van de agent wilt starten, dubbelklikt u op het .exe bestand dat u hebt gedownload. Selecteer Installeren in het eerste venster.
Wanneer u hierom wordt gevraagd, meldt u zich aan met een Microsoft Entra-account met machtigingen voor het registreren van de agent. Het account Hybrid Identity Administrator heeft standaard machtigingen.
Nadat u zich hebt aangemeld, wordt het installatieproces voltooid en kunt u het venster sluiten.
Op dit moment moeten de agentservices automatisch toestaan dat de agent de vereiste gegevens veilig uploadt naar de cloudservice.
Als u wilt controleren of de agent is geïnstalleerd, zoekt u naar de volgende services op de server. Als u de configuratie hebt voltooid, moeten ze al worden uitgevoerd. Anders worden ze gestopt totdat de configuratie is voltooid.
- Updater voor Microsoft Entra Connect-agent
- Microsoft Entra Connect Health Agent
De agent snel installeren op meerdere servers
Maak een gebruikersaccount in Microsoft Entra-id. Beveilig het account met behulp van een wachtwoord.
Wijs de rol Eigenaar toe voor dit lokale Microsoft Entra-account in Microsoft Entra Connect Health met behulp van de portal. Wijs de rol toe aan alle service-exemplaren.
Download het .exe MSI-bestand op de lokale domeincontroller voor de installatie.
Voer het volgende script uit. Vervang de parameters door uw nieuwe gebruikersaccount en het bijbehorende wachtwoord.
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
Wanneer u klaar bent, kunt u de toegang voor het lokale account verwijderen door een of meer van de volgende taken uit te voeren:
- Verwijder de roltoewijzing voor het lokale account voor Microsoft Entra Connect Health.
- Draai het wachtwoord voor het lokale account.
- Schakel het lokale Microsoft Entra-account uit.
- Verwijder het lokale Microsoft Entra-account.
De agent registreren met behulp van PowerShell
Nadat u het relevante agentbestand setup.exe hebt geïnstalleerd, kunt u de agent registreren met behulp van de volgende PowerShell-opdrachten, afhankelijk van de rol. Open PowerShell als beheerder en voer de relevante opdracht uit:
Register-MicrosoftEntraConnectHealthAgent
Notitie
Gebruik de volgende opdrachtregels om u te registreren bij onafhankelijke clouds:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Deze opdrachten accepteren Credential als parameter om de registratie niet-interactief te voltooien of om de registratie te voltooien op een computer waarop Server Core wordt uitgevoerd. Houd rekening met deze factoren:
- U kunt vastleggen
Credentialin een PowerShell-variabele die wordt doorgegeven als een parameter. - U kunt elke Microsoft Entra-identiteit opgeven die machtigingen heeft om de agents te registreren en waarvoor meervoudige verificatie niet is ingeschakeld.
- Globale beheerders hebben standaard machtigingen om de agents te registreren. U kunt ook toestaan dat identiteiten met minder bevoegdheden deze stap uitvoeren. Zie Azure RBAC voor meer informatie.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Microsoft Entra Connect Health-agents configureren voor het gebruik van HTTP-proxy
U kunt Microsoft Entra Connect Health-agents configureren voor gebruik met een HTTP-proxy.
Notitie
Netsh WinHttp set ProxyServerAddresswordt niet ondersteund. De agent gebruikt System.Net in plaats van Windows HTTP Services om webaanvragen te doen.- Het geconfigureerde HTTP-proxyadres wordt gebruikt om versleutelde HTTPS-berichten door te geven.
- Geverifieerde proxy's (met HTTPBasic) worden niet ondersteund.
De configuratie van de agentproxy wijzigen
Als u de Microsoft Entra Connect Health-agent wilt configureren voor het gebruik van een HTTP-proxy, kunt u het volgende doen:
- Bestaande proxy-instellingen importeren.
- Geef handmatig proxyadressen op.
- Wis de bestaande proxyconfiguratie.
Notitie
Als u de proxyinstellingen wilt bijwerken, moet u alle Microsoft Entra Connect Health-agentservices opnieuw starten. Voer de volgende opdracht uit om alle agents opnieuw op te starten:
Restart-Service AzureADConnectHealthAgent*
Bestaande proxy-instellingen importeren
U kunt HTTP-proxyinstellingen van Internet Explorer importeren, zodat Microsoft Entra Connect Health-agents de instellingen kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
U kunt WinHTTP-proxyinstellingen importeren zodat de Microsoft Entra Connect Health-agents deze kunnen gebruiken. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Proxyadressen handmatig opgeven
U kunt handmatig een proxyserver opgeven. Voer op elk van de servers met de statusagent de volgende PowerShell-opdracht uit:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Hier volgt een voorbeeld:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
In dit voorbeeld:
- De
addressinstelling kan een DNS-omzetbare servernaam of een IPv4-adres zijn. - Je kunt weglaten
port. Als u dit doet, is 443 de standaardpoort.
De bestaande proxyconfiguratie wissen
U kunt de bestaande proxyconfiguratie wissen door de volgende opdracht uit te voeren:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Huidige proxy-instellingen lezen
U kunt de huidige proxy-instellingen lezen door de volgende opdracht uit te voeren:
Get-MicrosoftEntraConnectHealthProxySettings
Connectiviteit met de Microsoft Entra Connect Health-service testen
Af en toe verliest de Microsoft Entra Connect Health-agent de verbinding met de Microsoft Entra Connect Health-service. Oorzaken van dit verbindingsverlies kunnen netwerkproblemen, machtigingsproblemen en verschillende andere problemen zijn.
Als de agent langer dan twee uur geen gegevens naar de Microsoft Entra Connect Health-service kan verzenden, wordt de volgende waarschuwing weergegeven in de portal: Health Service-gegevens zijn niet up-to-date.
U kunt nagaan of de betrokken Microsoft Entra Connect Health-agent gegevens kan uploaden naar de Microsoft Entra Connect Health-service door de volgende PowerShell-opdracht uit te voeren:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
De Role parameter gebruikt momenteel de volgende waarden:
ADFSSyncADDS
Notitie
Als u het connectiviteitsprogramma wilt gebruiken, moet u eerst de agent registreren. Als u de registratie van de agent niet kunt voltooien, moet u ervoor zorgen dat u voldoet aan alle vereisten voor Microsoft Entra Connect Health. De connectiviteit wordt standaard getest tijdens de registratie van de agent.
Volgende stappen
Bekijk de volgende gerelateerde artikelen:
- Microsoft Entra Connect Health
- Microsoft Entra Connect Health-bewerkingen
- Microsoft Entra Connect Health gebruiken met AD FS
- Microsoft Entra Connect Health gebruiken voor synchronisatie
- Microsoft Entra Connect Health gebruiken met AD Domain Services
- Veelgestelde vragen over Microsoft Entra Connect Health
- Versiegeschiedenis van Microsoft Entra Connect Health