Dela via


Installera Microsoft Entra Connect Health-agenterna

I den här artikeln får du lära dig hur du installerar och konfigurerar Microsoft Entra Connect Health-agenterna.

Lär dig hur du laddar ned agenterna.

Not

Microsoft Entra Connect Health är inte tillgängligt i det kinesiska nationella molnet.

Krav

I följande tabell visas krav för att använda Microsoft Entra Connect Health:

Krav Beskrivning
Du har en Microsoft Entra ID P1- eller P2-prenumeration. Microsoft Entra Connect Health är en funktion i Microsoft Entra ID P1 eller P2. Mer information finns i Registrera dig för Microsoft Entra ID P1 eller P2.

Information om hur du startar en kostnadsfri 30-dagars utvärderingsversion finns i Starta en utvärderingsversion.
Du är global administratör i Microsoft Entra-ID. För närvarande kan endast globala administratörskonton installera och konfigurera hälsoagenter. Mer information finns i Administrera din Microsoft Entra-katalog.

Genom att använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du tillåta att andra användare i din organisation får åtkomst till Microsoft Entra Connect Health. Mer information finns i Azure RBAC för Microsoft Entra Connect Health.

Viktigt: Använd ett arbets- eller skolkonto för att installera agenterna. Du kan inte använda ett Microsoft-konto för att installera agenterna. Mer information finns i Registrera dig för Azure som en organisation.
Microsoft Entra Connect Health-agenten är installerad på varje målserver. Hälsoagenter måste installeras och konfigureras på målservrar så att de kan ta emot data och tillhandahålla övervaknings- och analysfunktioner.

Om du till exempel vill hämta data från din Active Directory Federation Services (AD FS) -infrastruktur (AD FS) måste du installera agenten på AD FS-servern och på webbservern Programproxy. På samma sätt måste du installera agenten på domänkontrollanterna för att hämta data från din lokala AD Domain Services-infrastruktur.
Azure-tjänstslutpunkterna har utgående anslutning. Under installationen och körningen kräver agenten anslutning till Microsoft Entra Connect Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning lägger du till slutpunkterna för utgående anslutning i en lista över tillåtna anslutningar.
Utgående anslutning baseras på IP-adresser. Information om brandväggsfiltrering baserat på IP-adresser finns i Azure IP-intervall.
TLS-inspektion för utgående trafik filtreras eller inaktiveras. Agentregistreringssteget eller datauppladdningsåtgärderna kan misslyckas om det finns TLS-inspektion eller avslutning för utgående trafik på nätverksskiktet. Mer information finns i Konfigurera TLS-inspektion.
Brandväggsportarna på servern kör agenten. Agenten kräver att följande brandväggsportar är öppna så att den kan kommunicera med Microsoft Entra Connect Health-tjänstens slutpunkter:
– TCP-port 443
– TCP-port 5671

Den senaste versionen av agenten kräver inte port 5671. Uppgradera till den senaste versionen så att endast port 443 krävs. Mer information finns i Hybrididentitet som krävs portar och protokoll.
Om Förbättrad säkerhet i Internet Explorer är aktiverat tillåter du angivna webbplatser. Om förbättrad säkerhet i Internet Explorer är aktiverat tillåter du följande webbplatser på servern där du installerar agenten:
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://login.windows.net
- https://aadcdn.msftauth.net
– Federationsservern för din organisation som är betrodd av Microsoft Entra-ID (till exempel https://sts.contoso.com).

Mer information finns i Konfigurera Internet Explorer. Om du har en proxy i nätverket kan du läsa anteckningen som visas i slutet av den här tabellen.
PowerShell version 5.0 eller senare installeras. Windows Server 2016 innehåller PowerShell version 5.0.

Viktig

Windows Server Core stöder inte installation av Microsoft Entra Connect Health-agenten.

Not

Om du har en mycket låst och begränsad miljö måste du lägga till fler URL:er än URL:erna i tabelllistorna för Förbättrad säkerhet i Internet Explorer. Lägg också till URL:er som visas i tabellen i nästa avsnitt.

Viktig

Om du har installerat Microsoft Entra Connect Sync med ett konto med hybridadministratörsrollen är agenten i inaktiverat tillstånd. För att aktivera agenten måste du installera om den med hjälp av ett konto som är en global administratör.

Nya versioner av agenten och automatisk uppgradering

Om en ny version av hälsoagenten släpps uppdateras alla befintliga installerade agenter automatiskt.

Utgående anslutning till Azure-tjänstslutpunkter

Under installationen och körningen behöver agenten anslutning till Microsoft Entra Connect Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning kontrollerar du att URL:erna i följande tabell inte blockeras som standard.

Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er. Tillåt dem i stället som du skulle tillåta annan Internettrafik.

Dessa URL:er tillåter kommunikation med Microsoft Entra Connect Health-tjänstslutpunkter. Senare i den här artikeln får du lära dig hur du checkar utgående anslutning med hjälp Test-MicrosoftEntraConnectHealthConnectivityav .

Domänmiljö Nödvändiga Azure-tjänstslutpunkter
Allmänt offentligt - *.blob.core.windows.net
- *.aadconnecthealth.azure.com
- **.servicebus.windows.net – Port: 5671 (om 5671 blockeras faller agenten tillbaka till 443, men vi rekommenderar att du använder port 5671. Den här slutpunkten krävs inte i den senaste versionen av agenten.)
- *.adhybridhealth.azure.com/
- https://management.azure.com
- https://policykeyservice.dc.ad.msft.net/
- https://login.windows.net
- https://login.microsoftonline.com
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.net
- http://www.microsoft.com
- https://www.microsoft.com
Azure Government - *.blob.core.usgovcloudapi.net
- *.servicebus.usgovcloudapi.net
- *.aadconnecthealth.microsoftazure.us
- https://management.usgovcloudapi.net
- https://policykeyservice.aadcdi.azure.us
- https://login.microsoftonline.us
- https://secure.aadcdn.microsoftonline-p.com
- https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)
- https://aadcdn.msftauth.net
- https://aadcdn.msauth.net
- https://autoupdate.msappproxy.us
- http://www.microsoft.com
- https://www.microsoft.com

Ladda ned agenterna

Så här laddar du ned och installerar Microsoft Entra Connect Health-agenten:

Installera agenten för AD FS

Information om hur du installerar och övervakar AD FS med Microsoft Entra Connect Health-agenten finns i Microsoft Entra Connect Health-agenter för AD FS.

Installera agenten för synkronisering

Microsoft Entra Connect Health-agenten för synkronisering installeras automatiskt i den senaste versionen av Microsoft Entra Connect. Om du vill använda Microsoft Entra Connect för synkronisering laddar du ned den senaste versionen av Microsoft Entra Connect och installerar den.

Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör tjänsterna redan köras. Annars stoppas tjänsterna tills konfigurationen är klar.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Skärmbild som visar microsoft Entra Connect Health som körs för synkroniseringstjänster på servern.

Not

Kom ihåg att du måste ha Microsoft Entra ID P1 eller P2 för att använda Microsoft Entra Connect Health. Om du inte har Microsoft Entra ID P1 eller P2 kan du inte slutföra konfigurationen i administrationscentret för Microsoft Entra. Mer information finns i kraven.

Registrera Microsoft Entra Connect Health manuellt för synkronisering

Om Microsoft Entra Connect Health för synkroniseringsagentregistrering misslyckas när du har installerat Microsoft Entra Connect kan du använda ett PowerShell-kommando för att registrera agenten manuellt.

Viktig

Använd endast det här PowerShell-kommandot om agentregistreringen misslyckas när du har installerat Microsoft Entra Connect.

Registrera Microsoft Entra Connect Health-agenten manuellt för synkronisering med hjälp av följande PowerShell-kommando. Microsoft Entra Connect Health-tjänsterna startar när agenten har registrerats.

Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false

Kommandot tar följande parametrar:

  • AttributeFiltering: $true (standard) om Microsoft Entra Connect inte synkroniserar standardattributuppsättningen och har anpassats för att använda en filtrerad attributuppsättning. Annars använder du $false.
  • StagingMode: $false (standard) om Microsoft Entra Connect-servern inte är i mellanlagringsläge. Om servern är konfigurerad för att vara i mellanlagringsläge använder du $true.

När du uppmanas till autentisering använder du samma globala administratörskonto (till exempel ) som admin@domain.onmicrosoft.comdu använde för att konfigurera Microsoft Entra Connect.

Installera agenten för AD Domain Services

Starta agentinstallationen genom att dubbelklicka på den .exe fil som du laddade ned. I det första fönstret väljer du Installera.

Skärmbild som visar installationsfönstret för Microsoft Entra Connect Health-agenten för AD DS.

När du uppmanas att logga in med ett Microsoft Entra-konto som har behörighet att registrera agenten. Som standard har hybrididentitetsadministratörskontot behörigheter.

Skärmbild som visar inloggningsfönstret för Microsoft Entra Connect Health AD DS.

När du har loggat in slutförs installationsprocessen och du kan stänga fönstret.

Skärmbild som visar bekräftelsemeddelandet för ad DS-agentinstallationen för Microsoft Entra Connect Health.

Nu bör agenttjänsterna börja automatiskt tillåta att agenten på ett säkert sätt överför nödvändiga data till molntjänsten.

Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör de redan köras. Annars stoppas de tills konfigurationen är klar.

  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Health Agent

Skärmbild som visar Ad DS-tjänster för Microsoft Entra Connect Health.

Installera agenten snabbt på flera servrar

  1. Skapa ett användarkonto i Microsoft Entra-ID. Skydda kontot med hjälp av ett lösenord.

  2. Tilldela ägarrollen för det här lokala Microsoft Entra-kontot i Microsoft Entra Connect Health med hjälp av portalen. Tilldela rollen till alla tjänstinstanser.

  3. Ladda ned .exe MSI-filen i den lokala domänkontrollanten för installationen.

  4. Kör följande skript. Ersätt parametrarna med ditt nya användarkonto och dess lösenord.

    AdHealthAddsAgentSetup.exe /quiet AddsMonitoringEnabled=1 SkipRegistration=1
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Microsoft Azure AD Connect Health Agent\Modules\AdHealthConfiguration"
    
    Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
    

När du är klar kan du ta bort åtkomsten för det lokala kontot genom att utföra en eller flera av följande uppgifter:

  • Ta bort rolltilldelningen för det lokala kontot för Microsoft Entra Connect Health.
  • Rotera lösenordet för det lokala kontot.
  • Inaktivera det lokala Microsoft Entra-kontot.
  • Ta bort det lokala Microsoft Entra-kontot.

Registrera agenten med hjälp av PowerShell

När du har installerat relevant agent setup.exe fil kan du registrera agenten med hjälp av följande PowerShell-kommandon, beroende på roll. Öppna PowerShell som administratör och kör det relevanta kommandot:

Register-MicrosoftEntraConnectHealthAgent

Not

Om du vill registrera dig mot nationella moln använder du följande kommandorader:

Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user

Dessa kommandon accepterar Credential som en parameter för att slutföra registreringen icke-interaktivt eller för att slutföra registreringen på en dator som kör Server Core. Tänk på följande faktorer:

  • Du kan avbilda Credential i en PowerShell-variabel som skickas som en parameter.
  • Du kan ange alla Microsoft Entra-identiteter som har behörighet att registrera agenterna och som inte har multifaktorautentisering aktiverat.
  • Globala administratörer har som standard behörighet att registrera agenterna. Du kan också tillåta att mindre privilegierade identiteter gör det här steget. Mer information finns i Azure RBAC.
    $cred = Get-Credential
    Register-MicrosoftEntraConnectHealthAgent -Credential $cred

Konfigurera Microsoft Entra Connect Health-agenter att använda HTTP-proxy

Du kan konfigurera Microsoft Entra Connect Health-agenter så att de fungerar med en HTTP-proxy.

Not

  • Netsh WinHttp set ProxyServerAddress stöds inte. Agenten använder System.Net i stället för Windows HTTP Services för att göra webbbegäranden.
  • Den konfigurerade HTTP-proxyadressen används för att skicka krypterade HTTPS-meddelanden.
  • Autentiserade proxyservrar (med HTTPBasic) stöds inte.

Ändra agentproxykonfigurationen

Om du vill konfigurera Microsoft Entra Connect Health-agenten så att den använder en HTTP-proxy kan du:

  • Importera befintliga proxyinställningar.
  • Ange proxyadresser manuellt.
  • Rensa den befintliga proxykonfigurationen.

Not

Om du vill uppdatera proxyinställningarna måste du starta om alla Microsoft Entra Connect Health-agenttjänster. Starta om alla agenter genom att köra följande kommando:

Restart-Service AzureADConnectHealthAgent*

Importera befintliga proxyinställningar

Du kan importera HTTP-proxyinställningar för Internet Explorer så att Microsoft Entra Connect Health-agenter kan använda inställningarna. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings

Du kan importera WinHTTP-proxyinställningar så att Microsoft Entra Connect Health-agenterna kan använda dem. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:

Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp

Ange proxyadresser manuellt

Du kan ange en proxyserver manuellt. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port

Här är ett exempel:

Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

I det här exemplet:

  • Inställningen address kan vara ett DNS-matchbart servernamn eller en IPv4-adress.
  • Du kan utelämna port. Om du gör det är 443 standardporten.

Rensa den befintliga proxykonfigurationen

Du kan rensa den befintliga proxykonfigurationen genom att köra följande kommando:

Set-MicrosoftEntraConnectHealthProxySettings -NoProxy

Läsa aktuella proxyinställningar

Du kan läsa de aktuella proxyinställningarna genom att köra följande kommando:

Get-MicrosoftEntraConnectHealthProxySettings

Testa anslutningen till Microsoft Entra Connect Health-tjänsten

Ibland förlorar Microsoft Entra Connect Health-agenten anslutningen till Microsoft Entra Connect Health-tjänsten. Orsaker till den här anslutningsförlusten kan vara nätverksproblem, behörighetsproblem och olika andra problem.

Om agenten inte kan skicka data till Microsoft Entra Connect Health-tjänsten på mer än två timmar visas följande avisering i portalen: Hälsotjänst data inte är uppdaterade.

Du kan ta reda på om den berörda Microsoft Entra Connect Health-agenten kan ladda upp data till Microsoft Entra Connect Health-tjänsten genom att köra följande PowerShell-kommando:

Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS

Parametern Role tar för närvarande följande värden:

  • ADFS
  • Sync
  • ADDS

Not

Om du vill använda anslutningsverktyget måste du först registrera agenten. Om du inte kan slutföra agentregistreringen kontrollerar du att du uppfyller alla krav för Microsoft Entra Connect Health. Anslutningen testas som standard under agentregistreringen.

Nästa steg

Kolla in följande relaterade artiklar: