Installera Microsoft Entra Connect Health-agenterna
I den här artikeln får du lära dig hur du installerar och konfigurerar Microsoft Entra Connect Health-agenterna.
Lär dig hur du laddar ned agenterna.
Not
Microsoft Entra Connect Health är inte tillgängligt i det kinesiska nationella molnet.
Krav
I följande tabell visas krav för att använda Microsoft Entra Connect Health:
| Krav | Beskrivning |
|---|---|
| Du har en Microsoft Entra ID P1- eller P2-prenumeration. | Microsoft Entra Connect Health är en funktion i Microsoft Entra ID P1 eller P2. Mer information finns i Registrera dig för Microsoft Entra ID P1 eller P2. Information om hur du startar en kostnadsfri 30-dagars utvärderingsversion finns i Starta en utvärderingsversion. |
| Du är global administratör i Microsoft Entra-ID. | För närvarande kan endast globala administratörskonton installera och konfigurera hälsoagenter. Mer information finns i Administrera din Microsoft Entra-katalog. Genom att använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du tillåta att andra användare i din organisation får åtkomst till Microsoft Entra Connect Health. Mer information finns i Azure RBAC för Microsoft Entra Connect Health. Viktigt: Använd ett arbets- eller skolkonto för att installera agenterna. Du kan inte använda ett Microsoft-konto för att installera agenterna. Mer information finns i Registrera dig för Azure som en organisation. |
| Microsoft Entra Connect Health-agenten är installerad på varje målserver. | Hälsoagenter måste installeras och konfigureras på målservrar så att de kan ta emot data och tillhandahålla övervaknings- och analysfunktioner. Om du till exempel vill hämta data från din Active Directory Federation Services (AD FS) -infrastruktur (AD FS) måste du installera agenten på AD FS-servern och på webbservern Programproxy. På samma sätt måste du installera agenten på domänkontrollanterna för att hämta data från din lokala AD Domain Services-infrastruktur. |
| Azure-tjänstslutpunkterna har utgående anslutning. | Under installationen och körningen kräver agenten anslutning till Microsoft Entra Connect Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning lägger du till slutpunkterna för utgående anslutning i en lista över tillåtna anslutningar. |
| Utgående anslutning baseras på IP-adresser. | Information om brandväggsfiltrering baserat på IP-adresser finns i Azure IP-intervall. |
| TLS-inspektion för utgående trafik filtreras eller inaktiveras. | Agentregistreringssteget eller datauppladdningsåtgärderna kan misslyckas om det finns TLS-inspektion eller avslutning för utgående trafik på nätverksskiktet. Mer information finns i Konfigurera TLS-inspektion. |
| Brandväggsportarna på servern kör agenten. | Agenten kräver att följande brandväggsportar är öppna så att den kan kommunicera med Microsoft Entra Connect Health-tjänstens slutpunkter: – TCP-port 443 – TCP-port 5671 Den senaste versionen av agenten kräver inte port 5671. Uppgradera till den senaste versionen så att endast port 443 krävs. Mer information finns i Hybrididentitet som krävs portar och protokoll. |
| Om Förbättrad säkerhet i Internet Explorer är aktiverat tillåter du angivna webbplatser. | Om förbättrad säkerhet i Internet Explorer är aktiverat tillåter du följande webbplatser på servern där du installerar agenten: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net – Federationsservern för din organisation som är betrodd av Microsoft Entra-ID (till exempel https://sts.contoso.com). Mer information finns i Konfigurera Internet Explorer. Om du har en proxy i nätverket kan du läsa anteckningen som visas i slutet av den här tabellen. |
| PowerShell version 5.0 eller senare installeras. | Windows Server 2016 innehåller PowerShell version 5.0. |
Viktig
Windows Server Core stöder inte installation av Microsoft Entra Connect Health-agenten.
Not
Om du har en mycket låst och begränsad miljö måste du lägga till fler URL:er än URL:erna i tabelllistorna för Förbättrad säkerhet i Internet Explorer. Lägg också till URL:er som visas i tabellen i nästa avsnitt.
Viktig
Om du har installerat Microsoft Entra Connect Sync med ett konto med hybridadministratörsrollen är agenten i inaktiverat tillstånd. För att aktivera agenten måste du installera om den med hjälp av ett konto som är en global administratör.
Nya versioner av agenten och automatisk uppgradering
Om en ny version av hälsoagenten släpps uppdateras alla befintliga installerade agenter automatiskt.
Utgående anslutning till Azure-tjänstslutpunkter
Under installationen och körningen behöver agenten anslutning till Microsoft Entra Connect Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning kontrollerar du att URL:erna i följande tabell inte blockeras som standard.
Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er. Tillåt dem i stället som du skulle tillåta annan Internettrafik.
Dessa URL:er tillåter kommunikation med Microsoft Entra Connect Health-tjänstslutpunkter. Senare i den här artikeln får du lära dig hur du checkar utgående anslutning med hjälp Test-MicrosoftEntraConnectHealthConnectivityav .
| Domänmiljö | Nödvändiga Azure-tjänstslutpunkter |
|---|---|
| Allmänt offentligt | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net – Port: 5671 (om 5671 blockeras faller agenten tillbaka till 443, men vi rekommenderar att du använder port 5671. Den här slutpunkten krävs inte i den senaste versionen av agenten.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Ladda ned agenterna
Så här laddar du ned och installerar Microsoft Entra Connect Health-agenten:
- Kontrollera att du uppfyller kraven för att installera Microsoft Entra Connect Health.
- Kom igång med Hjälp av Microsoft Entra Connect Health för AD FS:
- Kom igång använder Microsoft Entra Connect Health för synkronisering:
- Ladda ned och installera den senaste versionen av Microsoft Entra Connect. Hälsoagenten för synkronisering installeras som en del av Microsoft Entra Connect-installationen (version 1.0.9125.0 eller senare).
- Kom igång med Microsoft Entra Connect Health för AD Domain Services:
Installera agenten för AD FS
Information om hur du installerar och övervakar AD FS med Microsoft Entra Connect Health-agenten finns i Microsoft Entra Connect Health-agenter för AD FS.
Installera agenten för synkronisering
Microsoft Entra Connect Health-agenten för synkronisering installeras automatiskt i den senaste versionen av Microsoft Entra Connect. Om du vill använda Microsoft Entra Connect för synkronisering laddar du ned den senaste versionen av Microsoft Entra Connect och installerar den.
Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör tjänsterna redan köras. Annars stoppas tjänsterna tills konfigurationen är klar.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Not
Kom ihåg att du måste ha Microsoft Entra ID P1 eller P2 för att använda Microsoft Entra Connect Health. Om du inte har Microsoft Entra ID P1 eller P2 kan du inte slutföra konfigurationen i administrationscentret för Microsoft Entra. Mer information finns i kraven.
Registrera Microsoft Entra Connect Health manuellt för synkronisering
Om Microsoft Entra Connect Health för synkroniseringsagentregistrering misslyckas när du har installerat Microsoft Entra Connect kan du använda ett PowerShell-kommando för att registrera agenten manuellt.
Viktig
Använd endast det här PowerShell-kommandot om agentregistreringen misslyckas när du har installerat Microsoft Entra Connect.
Registrera Microsoft Entra Connect Health-agenten manuellt för synkronisering med hjälp av följande PowerShell-kommando. Microsoft Entra Connect Health-tjänsterna startar när agenten har registrerats.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
Kommandot tar följande parametrar:
AttributeFiltering:$true(standard) om Microsoft Entra Connect inte synkroniserar standardattributuppsättningen och har anpassats för att använda en filtrerad attributuppsättning. Annars använder du$false.StagingMode:$false(standard) om Microsoft Entra Connect-servern inte är i mellanlagringsläge. Om servern är konfigurerad för att vara i mellanlagringsläge använder du$true.
När du uppmanas till autentisering använder du samma globala administratörskonto (till exempel ) som admin@domain.onmicrosoft.comdu använde för att konfigurera Microsoft Entra Connect.
Installera agenten för AD Domain Services
Starta agentinstallationen genom att dubbelklicka på den .exe fil som du laddade ned. I det första fönstret väljer du Installera.
När du uppmanas att logga in med ett Microsoft Entra-konto som har behörighet att registrera agenten. Som standard har hybrididentitetsadministratörskontot behörigheter.
När du har loggat in slutförs installationsprocessen och du kan stänga fönstret.
Nu bör agenttjänsterna börja automatiskt tillåta att agenten på ett säkert sätt överför nödvändiga data till molntjänsten.
Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör de redan köras. Annars stoppas de tills konfigurationen är klar.
- Microsoft Entra Connect Agent Updater
- Microsoft Entra Connect Health Agent
Installera agenten snabbt på flera servrar
Skapa ett användarkonto i Microsoft Entra-ID. Skydda kontot med hjälp av ett lösenord.
Tilldela ägarrollen för det här lokala Microsoft Entra-kontot i Microsoft Entra Connect Health med hjälp av portalen. Tilldela rollen till alla tjänstinstanser.
Ladda ned .exe MSI-filen i den lokala domänkontrollanten för installationen.
Kör följande skript. Ersätt parametrarna med ditt nya användarkonto och dess lösenord.
AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1 Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
När du är klar kan du ta bort åtkomsten för det lokala kontot genom att utföra en eller flera av följande uppgifter:
- Ta bort rolltilldelningen för det lokala kontot för Microsoft Entra Connect Health.
- Rotera lösenordet för det lokala kontot.
- Inaktivera det lokala Microsoft Entra-kontot.
- Ta bort det lokala Microsoft Entra-kontot.
Registrera agenten med hjälp av PowerShell
När du har installerat relevant agent setup.exe fil kan du registrera agenten med hjälp av följande PowerShell-kommandon, beroende på roll. Öppna PowerShell som administratör och kör det relevanta kommandot:
Register-MicrosoftEntraConnectHealthAgent
Not
Om du vill registrera dig mot nationella moln använder du följande kommandorader:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Dessa kommandon accepterar Credential som en parameter för att slutföra registreringen icke-interaktivt eller för att slutföra registreringen på en dator som kör Server Core. Tänk på följande faktorer:
- Du kan avbilda
Credentiali en PowerShell-variabel som skickas som en parameter. - Du kan ange alla Microsoft Entra-identiteter som har behörighet att registrera agenterna och som inte har multifaktorautentisering aktiverat.
- Globala administratörer har som standard behörighet att registrera agenterna. Du kan också tillåta att mindre privilegierade identiteter gör det här steget. Mer information finns i Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Konfigurera Microsoft Entra Connect Health-agenter att använda HTTP-proxy
Du kan konfigurera Microsoft Entra Connect Health-agenter så att de fungerar med en HTTP-proxy.
Not
Netsh WinHttp set ProxyServerAddressstöds inte. Agenten använder System.Net i stället för Windows HTTP Services för att göra webbbegäranden.- Den konfigurerade HTTP-proxyadressen används för att skicka krypterade HTTPS-meddelanden.
- Autentiserade proxyservrar (med HTTPBasic) stöds inte.
Ändra agentproxykonfigurationen
Om du vill konfigurera Microsoft Entra Connect Health-agenten så att den använder en HTTP-proxy kan du:
- Importera befintliga proxyinställningar.
- Ange proxyadresser manuellt.
- Rensa den befintliga proxykonfigurationen.
Not
Om du vill uppdatera proxyinställningarna måste du starta om alla Microsoft Entra Connect Health-agenttjänster. Starta om alla agenter genom att köra följande kommando:
Restart-Service AzureADConnectHealthAgent*
Importera befintliga proxyinställningar
Du kan importera HTTP-proxyinställningar för Internet Explorer så att Microsoft Entra Connect Health-agenter kan använda inställningarna. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Du kan importera WinHTTP-proxyinställningar så att Microsoft Entra Connect Health-agenterna kan använda dem. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Ange proxyadresser manuellt
Du kan ange en proxyserver manuellt. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Här är ett exempel:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
I det här exemplet:
- Inställningen
addresskan vara ett DNS-matchbart servernamn eller en IPv4-adress. - Du kan utelämna
port. Om du gör det är 443 standardporten.
Rensa den befintliga proxykonfigurationen
Du kan rensa den befintliga proxykonfigurationen genom att köra följande kommando:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Läsa aktuella proxyinställningar
Du kan läsa de aktuella proxyinställningarna genom att köra följande kommando:
Get-MicrosoftEntraConnectHealthProxySettings
Testa anslutningen till Microsoft Entra Connect Health-tjänsten
Ibland förlorar Microsoft Entra Connect Health-agenten anslutningen till Microsoft Entra Connect Health-tjänsten. Orsaker till den här anslutningsförlusten kan vara nätverksproblem, behörighetsproblem och olika andra problem.
Om agenten inte kan skicka data till Microsoft Entra Connect Health-tjänsten på mer än två timmar visas följande avisering i portalen: Hälsotjänst data inte är uppdaterade.
Du kan ta reda på om den berörda Microsoft Entra Connect Health-agenten kan ladda upp data till Microsoft Entra Connect Health-tjänsten genom att köra följande PowerShell-kommando:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Parametern Role tar för närvarande följande värden:
ADFSSyncADDS
Not
Om du vill använda anslutningsverktyget måste du först registrera agenten. Om du inte kan slutföra agentregistreringen kontrollerar du att du uppfyller alla krav för Microsoft Entra Connect Health. Anslutningen testas som standard under agentregistreringen.
Nästa steg
Kolla in följande relaterade artiklar:
- Microsoft Entra Connect Health
- Microsoft Entra Connect Health-åtgärder
- Använda Microsoft Entra Connect Health med AD FS
- Använda Microsoft Entra Connect Health för synkronisering
- Använda Microsoft Entra Connect Health med AD Domain Services
- Vanliga frågor och svar om Microsoft Entra Connect Health
- Versionshistorik för Microsoft Entra Connect Health