De Azure AD Connect Health-agent installerenAzure AD Connect Health Agent Installation

In dit document wordt beschreven hoe u de Azure AD Connect Health-agents installeert en configureert.This document walks you through installing and configuring the Azure AD Connect Health Agents. U kunt de agents hier downloaden.You can download the agents from here.

VereistenRequirements

In de volgende tabel ziet u een lijst vereisten voor het gebruik van Azure AD Connect Health.The following table is a list of requirements for using Azure AD Connect Health.

VereisteRequirement BeschrijvingDescription
Azure AD PremiumAzure AD Premium Azure AD Connect Health is een Azure AD Premium-functie waarvoor Azure AD Premium is vereist.Azure AD Connect Health is an Azure AD Premium feature and requires Azure AD Premium.

Zie voor meer informatie Aan de slag met Azure AD PremiumFor more information, see Getting started with Azure AD Premium
Als u gebruik wilt maken van een gratis proefversie van 30 dagen, raadpleegt u Gratis proberen.To start a free 30-day trial, see Start a trial.
U moet hoofdbeheerder van uw Azure AD zijn om aan de slag te gaan met Azure AD Connect HealthYou must be a global administrator of your Azure AD to get started with Azure AD Connect Health Standaard kunnen alleen hoofdbeheerders de Health-agents installeren en configureren om aan de slag te gaan, de Portal openen en bewerkingen uitvoeren in Azure AD Connect Health.By default, only the global administrators can install and configure the health agents to get started, access the portal, and perform any operations within Azure AD Connect Health. Voor meer informatie raadpleegt u Uw Azure AD-directory beheren.For more information, see Administering your Azure AD directory.

Met behulp van op rollen gebaseerd toegangsbeheer kunt u toegang tot Azure AD Connect Health verlenen aan andere gebruikers binnen uw organisatie.Using Role Based Access Control you can allow access to Azure AD Connect Health to other users in your organization. Zie voor meer informatie Op rollen gebaseerd toegangsbeheer voor Azure AD Connect Health.For more information, see Role Based Access Control for Azure AD Connect Health.

Belangrijk: het account dat u gebruikt tijdens het installeren van agents, moet een werk- of schoolaccount zijn.Important: The account used when installing the agents must be a work or school account. Het mag geen Microsoft-account zijn.It cannot be a Microsoft account. Voor meer informatie raadpleegt u Als organisatie registreren voor AzureFor more information, see Sign up for Azure as an organization
De Azure AD Connect Health-agent wordt geïnstalleerd op elke doelserverAzure AD Connect Health Agent is installed on each targeted server Voor Azure AD Connect Health moeten de Health-agents worden geïnstalleerd en geconfigureerd op de doelservers om gegevens te kunnen ontvangen en om mogelijkheden voor bewaking en analyse te kunnen bieden.Azure AD Connect Health requires the Health Agents to be installed and configured on targeted servers to receive the data and provide the Monitoring and Analytics capabilities.

Als u bijvoorbeeld gegevens uit uw AD FS-infrastructuur wilt ophalen, moet de agent worden geïnstalleerd op de AD FS-servers en de webtoepassingsproxyservers.For example, to get data from your AD FS infrastructure, the agent must be installed on the AD FS and Web Application Proxy servers. Evenzo moet de agent op de domeincontrollers worden geïnstalleerd om gegevens in uw on-premises AD DS-infrastructuur te krijgen.Similarly, to get data on your on-premises AD DS infrastructure, the agent must be installed on the domain controllers.

Uitgaande verbinding met de Azure-service-eindpuntenOutbound connectivity to the Azure service endpoints Tijdens de installatie en runtime moet de agent verbonden zijn met de Azure AD Connect Health-service-eindpunten.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Als de uitgaande connectiviteit is geblokkeerd met firewalls, moet u ervoor zorgen dat de volgende eindpunten wel zijn toegestaan.If outbound connectivity is blocked using Firewalls, ensure that the following endpoints are added to the allowed list. Meer informatie over uitgaande connectiviteitseindpuntenSee outbound connectivity endpoints
Uitgaande verbindingen op basis van IP-adressenOutbound connectivity based on IP Addresses Als u meer wilt weten over het filteren op IP-adressen in firewalls, ziet u Azure IP-bereiken.For IP address based filtering on firewalls, refer to the Azure IP Ranges.
SSL-controle voor uitgaand verkeer is gefilterd of uitgeschakeldSSL Inspection for outbound traffic is filtered or disabled De agentregistratiestap of het uploaden van gegevens kan mislukken als er in de netwerklaag een SSL-inspectie of blokkering is voor uitgaand verkeer.The agent registration step or data upload operations may fail if there is SSL inspection or termination for outbound traffic at the network layer. Meer informatie over het instellen van SSL-inspectieRead more about how to setup SSL inspection
Firewallpoorten op de server waarop de agent wordt uitgevoerdFirewall ports on the server running the agent De volgende firewallpoorten moeten open zijn, anders kan de agent niet communiceren met de eindpunten van de Azure AD Health-service.The agent requires the following firewall ports to be open in order for the agent to communicate with the Azure AD Health service endpoints.

  • TCP-poort 443TCP port 443
  • TCP-poort 5671TCP port 5671

  • Houd er rekening mee dat poort 5671 niet langer vereist is voor de nieuwste versie van de agent.Note that port 5671 is no longer required for the latest version of agent. Voer een upgrade uit naar de nieuwste versie zodat alleen poort 443 is vereist.Upgrade to the latest version so only port 443 is required. Lees meer over firewallpoorten inschakelenRead more about enable firewall ports
    Sta de volgende websites toe als verbeterde beveiliging van Internet Explorer is ingeschakeldAllow the following websites if IE Enhanced Security is enabled Als verbeterde beveiliging van Internet Explorer is ingeschakeld, moeten de volgende websites worden toegestaan op de server waarop u de agent wilt installeren.If IE Enhanced Security is enabled, then the following websites must be allowed on the server that is going to have the agent installed.

  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • https: //aadcdn. msftauth. nethttps://aadcdn.msftauth.net
  • De federatieve server van uw organisatie moet worden vertrouwd door Azure Active Directory.The federation server for your organization trusted by Azure Active Directory. Bijvoorbeeld: https://sts.contoso.comFor example: https://sts.contoso.com
  • Meer informatie over het configureren van Internet Explorer.Read more about how to configure IE. Als u een proxy in uw netwerk hebt, raadpleegt u de onderstaande opmerking.In case you have a proxy within your network , please see note below.
    Zorg ervoor dat PowerShell v4.0 of later is geïnstalleerdEnsure PowerShell v4.0 or newer is installed
  • Windows Server 2008 R2 wordt geleverd met PowerShell versie 2.0, wat onvoldoende is voor de agent.Windows Server 2008 R2 ships with PowerShell v2.0, which is insufficient for the agent. Werk PowerShell bij zoals wordt uitgelegd in Agent-installatie op Windows Server 2008 R2-servers.Update PowerShell as explained below under Agent installation on Windows Server 2008 R2 Servers.
  • Windows Server 2012 wordt geleverd met PowerShell v3.0, wat onvoldoende is voor de agent.Windows Server 2012 ships with PowerShell v3.0, which is insufficient for the agent. Update het Windows Management Framework.Update the Windows Management Framework.
  • Windows Server 2012 R2 en later wordt geleverd met een voldoende recente versie van PowerShell.Windows Server 2012 R2 and later ship with a sufficiently recent version of PowerShell.
  • FIPS uitschakelenDisable FIPS FIPS wordt niet ondersteund door Azure AD Connect Health-agents.FIPS is not supported by Azure AD Connect Health agents.

    Notitie

    Als u een zeer vergrendelde en zeer beperkte omgeving hebt, moet u de Url's die worden vermeld in de service-eindpunt lijsten hieronder, naast de white list die worden vermeld in de hierboven toegestane verbeterde beveiligings configuratie van Internet Explorer.If you have a highly locked-down and extremely restricted environment, you would require to whitelist the URLs mentioned in the Service endpoint lists below in addition to the ones listed in the Allowed IE enhanced Security configuration above.

    Uitgaande verbinding met de Azure-service-eindpuntenOutbound connectivity to the Azure service endpoints

    Tijdens de installatie en runtime moet de agent verbonden zijn met de Azure AD Connect Health-service-eindpunten.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Als uitgaande connectiviteit is geblokkeerd met behulp van firewalls, moet u ervoor zorgen dat de volgende Url's niet standaard worden geblokkeerd.If outbound connectivity is blocked using Firewalls, make sure that the following URLs are not blocked by default. Schakel de beveiligings controle of inspectie van deze Url's niet uit, maar sta toe als andere Internet verkeer.Do not disable security monitoring or inspection of these URLs, but allow them as you would other internet traffic. Ze staan communicatie toe met Azure AD Connect Health Service-eind punten.They permit communication with Azure AD Connect Health service endpoints. Meer informatie over het controleren van de uitgaande connectiviteit met test-AzureADConnectHealthConnectivity.Learn how to check outbound connectivity with Test-AzureADConnectHealthConnectivity.

    DomeinomgevingDomain Environment Vereiste Azure-service-eindpuntenRequired Azure service endpoints
    Algemeen publiekGeneral Public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *.aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *.servicebus.windows.net - Poort: 5671*.servicebus.windows.net - Port: 5671
  • *.adhybridhealth.azure.com/*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com *Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Azure DuitslandAzure Germany
  • *.blob.core.cloudapi.de*.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de*.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de *Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.https://www.office.de *this endpoint is only used for discovery purposes during registration.
  • Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com *Dit eindpunt wordt alleen gebruikt voor detectiedoeleinden tijdens de registratie.https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • De Azure AD Connect Health-agent downloaden en installerenDownload and install the Azure AD Connect Health Agent

    De Azure AD Connect Health-agent voor AD FS installerenInstalling the Azure AD Connect Health Agent for AD FS

    Notitie

    De AD FS-server moet verschillen van de synchronisatieserver.AD FS server should be different from your Sync server. Installeer AD FS-agent niet op uw synchronisatieserver.Do not install AD FS agent to your Sync server.

    Zorg ervoor dat vóór de installatie de hostnaam van uw AD FS-server uniek is en niet aanwezig is in de AD FS-service.Before installation, make sure your AD FS server host name is unique and not present in the AD FS service. Dubbelklik op het .exe-bestand dat u hebt gedownload om de installatie van de agent te starten.To start the agent installation, double-click the .exe file that you downloaded. Klik in het eerste scherm op Installeren.On the first screen, click Install.

    Azure AD Connect Health verifiëren

    Wanneer de installatie is voltooid, klikt u op Nu configureren.Once the installation is finished, click Configure Now.

    Azure AD Connect Health verifiëren

    Hiermee wordt een PowerShell-venster geopend om het agentregistratieproces te starten.This launches a PowerShell window to initiate the agent registration process. Wanneer het wordt gevraagd, meldt u zich aan met een Azure AD-account dat de mogelijkheid biedt om agents te registreren.When prompted, sign in with an Azure AD account that has access to perform agent registration. Met het globale-beheerdersaccount is dat standaard mogelijk.By default the Global Admin account has access.

    Azure AD Connect Health verifiëren

    Na het aanmelden gaat PowerShell door.After signing in, PowerShell will continue. Zodra het proces is voltooid, kunt u PowerShell sluiten. De configuratie is dan voltooid.Once it completes, you can close PowerShell and the configuration is complete.

    De agentservices moeten nu automatisch worden gestart, zodat de agent de vereiste gegevens veilig kan uploaden naar de cloudservice.At this point, the agent services should be started automatically allowing the agent upload the required data to the cloud service in a secure manner.

    In het PowerShell-venster worden waarschuwingen weergegeven als u niet aan alle vereisten hebt voldaan die in vorige gedeelten zijn beschreven.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Zorg ervoor dat u aan alle vereisten voldoet voordat u de agent installeert.Be sure to complete the requirements before installing the agent. In de schermafbeelding hieronder ziet u een voorbeeld van deze fouten.The following screenshot is an example of these errors.

    Azure AD Connect Health verifiëren

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de server.To verify the agent has been installed, look for the following services on the server. Als de configuratie is voltooid, moeten deze services worden uitgevoerd.If you completed the configuration, they should already be running. Ze worden pas gestart wanneer de configuratie is voltooid.Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health AD FS Diagnostics-serviceAzure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights-serviceAzure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring-serviceAzure AD Connect Health AD FS Monitoring Service

    Azure AD Connect Health verifiëren

    De agent installeren op Windows Server 2008 R2-serversAgent installation on Windows Server 2008 R2 Servers

    Stappen voor Windows Server 2008 R2-servers:Steps for Windows Server 2008 R2 servers:

    1. Zorg ervoor dat de server met Service Pack 1 of hoger wordt uitgevoerd.Ensure that the server is running at Service Pack 1 or higher.
    2. Verbeterde beveiliging van Internet Explorer uitschakelen voor de installatie van agents:Turn off IE ESC for agent installation:
    3. Installeer Windows PowerShell 4.0 op alle servers voordat u de AD Health-agent installeert.Install Windows PowerShell 4.0 on each of the servers ahead of installing the AD Health agent. Windows PowerShell 4.0 installeren:To install Windows PowerShell 4.0:
      • Installeer Microsoft .NET Framework 4.5 via de volgende koppeling. U kunt hier het offline-installatieprogramma downloaden.Install Microsoft .NET Framework 4.5 using the following link to download the offline installer.
      • PowerShell ISE (van Windows-onderdelen) installerenInstall PowerShell ISE (From Windows Features)
      • Installeer Windows Management Framework 4.0.Install the Windows Management Framework 4.0.
      • Installeer Internet Explorer versie 10 of hoger op de server.Install Internet Explorer version 10 or above on the server. (Dit is vereist voor de Health Service, zodat kan worden geverifieerd of u Azure-beheerdersreferenties gebruikt.)(Required by the Health Service to authenticate, using your Azure Admin credentials.)
    4. Voor meer informatie over het installeren van Windows PowerShell 4.0 voor Windows Server 2008 R2 raadpleegt u dit wiki-artikel.For more information on installing Windows PowerShell 4.0 on Windows Server 2008 R2, see the wiki article here.

    Controle inschakelen voor AD FSEnable Auditing for AD FS

    Notitie

    Deze sectie is alleen van toepassing op AD FS-servers.This section only applies to AD FS servers. U hoeft niet te deze stappen volgen voor webtoepassingsproxyservers.You do not have to follow these steps on the Web Application Proxy Servers.

    Als u de functie Gebruiksanalyse wilt gebruiken om gegevens te verzamelen en te analyseren, moet de Azure AD Connect Health-agent beschikken over de informatie in de AD FS-auditlogboeken.In order for the Usage Analytics feature to gather and analyze data, the Azure AD Connect Health agent needs the information in the AD FS Audit Logs. Deze logboeken worden niet standaard ingeschakeld.These logs are not enabled by default. Volg de volgende procedures om AD FS-controles in te schakelen en de AD FS-auditlogboeken op uw AD FS-servers te zoeken.Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs, on your AD FS servers.

    Controle inschakelen voor AD FS in Windows Server 2008 R2To enable auditing for AD FS on Windows Server 2008 R2

    1. Klik op Start, ga naar Programma's, ga naar Systeembeheer en klik vervolgens op Lokaal beveiligingsbeleid.Click Start, point to Programs, point to Administrative Tools, and then click Local Security Policy.
    2. Navigeer naar de map Beveiligingsinstellingen\Lokaal beleid\Gebruikersrechten toewijzen en dubbelklik op Beveiligingscontrole genereren.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Controleer op het tabblad Lokale beveiligingsinstelling of het AD FS 2.0-serviceaccount wordt vermeld.On the Local Security Setting tab, verify that the AD FS 2.0 service account is listed. Als dit niet zo is, klikt u op Gebruiker of groep toevoegen, voegt u het account toe aan de lijst en klikt u op OK.If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. Als u de controle wilt inschakelen, opent u een opdrachtprompt met verhoogde bevoegdheden en voert u de volgende opdracht uit: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enableTo enable auditing, open a Command Prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Kies Lokaal beveiligingsbeleid.Close Local Security Policy.
      -- De volgende stappen zijn alleen vereist voor primaire AD FS-servers.-- The following steps are only required for primary AD FS servers. --
    6. Open de module AD FS-beheer.Open the AD FS Management snap-in. Klik op Start, wijs naar Programma's, wijs naar Systeembeheer en klik vervolgens op AD FS 2.0-beheer om de module AD FS-beheer te openen.To open the AD FS Management snap-in, click Start, point to Programs, point to Administrative Tools, and then click AD FS 2.0 Management.
    7. Klik in het deelvenster Acties op Federation Service-eigenschappen bewerken.In the Actions pane, click Edit Federation Service Properties.
    8. Klik in het dialoogvenster Federation Service-eigenschappen op het tabblad Gebeurtenissen.In the Federation Service Properties dialog box, click the Events tab.
    9. Schakel de selectievakjes bij Succesvolle controles en Mislukte controles in.Select the Success audits and Failure audits check boxes.
    10. Klik op OK.Click OK.

    Controle inschakelen voor AD FS in Windows Server 2012 R2To enable auditing for AD FS on Windows Server 2012 R2

    1. Open Lokaal beveiligingsbeleid. Dit doet u door naar Serverbeheer te gaan op het startscherm, of door Serverbeheer te openen via de taakbalk op het bureaublad en door vervolgens op Extra/Lokaal beveiligingsbeleid te klikken.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Navigeer naar de map Beveiligingsinstellingen\Lokaal beleid\Gebruikersrechten toewijzen en dubbelklik op Beveiligingscontrole genereren.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Controleer op het tabblad Lokale beveiligingsinstelling of het AD FS-serviceaccount wordt vermeld.On the Local Security Setting tab, verify that the AD FS service account is listed. Als dit niet zo is, klikt u op Gebruiker of groep toevoegen, voegt u het account toe aan de lijst en klikt u op OK.If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. Als u de controle wilt inschakelen, opent u een opdrachtprompt met verhoogde bevoegdheden en voert u de volgende opdracht uit: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enableTo enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Kies Lokaal beveiligingsbeleid.Close Local Security Policy.
      -- De volgende stappen zijn alleen vereist voor primaire AD FS-servers.-- The following steps are only required for primary AD FS servers. --
    6. Open de module AD FS-beheer (klik in Serverbeheer op Extra en selecteer vervolgens AD FS-beheer).Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. Klik in het deelvenster Acties op Federation Service-eigenschappen bewerken.In the Actions pane, click Edit Federation Service Properties.
    8. Klik in het dialoogvenster Federation Service-eigenschappen op het tabblad Gebeurtenissen.In the Federation Service Properties dialog box, click the Events tab.
    9. Schakel de selectievakjes bij Succesvolle controles en Mislukte controles in en klik op OK.Select the Success audits and Failure audits check boxes and then click OK.

    Controle inschakelen voor AD FS in Windows Server 2016To enable auditing for AD FS on Windows Server 2016

    1. Open Lokaal beveiligingsbeleid. Dit doet u door naar Serverbeheer te gaan op het startscherm, of door Serverbeheer te openen via de taakbalk op het bureaublad en door vervolgens op Extra/Lokaal beveiligingsbeleid te klikken.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Navigeer naar de map Beveiligingsinstellingen\Lokaal beleid\Gebruikersrechten toewijzen en dubbelklik op Beveiligingscontrole genereren.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Controleer op het tabblad Lokale beveiligingsinstelling of het AD FS-serviceaccount wordt vermeld.On the Local Security Setting tab, verify that the AD FS service account is listed. Als dit niet zo is, klikt u op Gebruiker of groep toevoegen, voegt u het AD FS-serviceaccount toe aan de lijst en klikt u op OK.If it is not present, click Add User or Group and add the AD FS service account to the list, and then click OK.
    4. Als u de controle wilt inschakelen, opent u een opdrachtprompt met verhoogde bevoegdheden en voert u de volgende opdracht uit: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enableTo enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Kies Lokaal beveiligingsbeleid.Close Local Security Policy.
      -- De volgende stappen zijn alleen vereist voor primaire AD FS-servers.-- The following steps are only required for primary AD FS servers. --
    6. Open de module AD FS-beheer (klik in Serverbeheer op Extra en selecteer vervolgens AD FS-beheer).Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. Klik in het deelvenster Acties op Federation Service-eigenschappen bewerken.In the Actions pane, click Edit Federation Service Properties.
    8. Klik in het dialoogvenster Federation Service-eigenschappen op het tabblad Gebeurtenissen.In the Federation Service Properties dialog box, click the Events tab.
    9. Schakel de selectievakjes bij Succesvolle controles en Mislukte controles in en klik op OK.Select the Success audits and Failure audits check boxes and then click OK. Deze moeten standaard zijn ingeschakeld.This should be enabled by default.
    10. Open een PowerShell-venster en voer de volgende opdracht uit: Set-AdfsProperties -AuditLevel Verbose.Open a PowerShell window and run the following command: Set-AdfsProperties -AuditLevel Verbose.

    Het basiscontroleniveau is standaard ingeschakeld.Note that "basic" audit level is enabled by default. Meer informatie over de AD FS-controleverbetering in Windows Server 2016Read more about the AD FS Audit enhancement in Windows Server 2016

    De AD FS-auditlogboeken zoekenTo locate the AD FS audit logs

    1. Open Logboeken.Open Event Viewer.

    2. Ga naar de Windows-logboeken en selecteer Beveiliging.Go to Windows Logs and select Security.

    3. Klik rechts op Huidige logboeken filteren.On the right, click Filter Current Logs.

    4. Selecteer onder Gebeurtenisbron AD FS-controle.Under Event Source, select AD FS Auditing.

      En snelle opmerking over veelgestelde vragen over auditlogboeken.And quick FAQ note for Audit logs.

    AD FS-auditlogboeken

    Waarschuwing

    Met een groepsbeleid kan AD FS-controle worden uitgeschakeld.A group policy can disable AD FS auditing. Als AD FS-controle is uitgeschakeld, zijn er geen gebruiksanalyses beschikbaar over aanmeldactiviteiten.If AD FS auditing is disabled, usage analytics about login activities are not available. Zorg ervoor dat u geen groepsbeleid hebt waarmee AD FS-controle wordt uitgeschakeld.>Ensure that you don’t have a group policy that disables AD FS auditing.>

    De Azure AD Connect Health for Sync-agent installerenInstalling the Azure AD Connect Health agent for sync

    De Azure AD Connect Health for Sync-agent wordt automatisch geïnstalleerd via de laatste build van Azure AD Connect.The Azure AD Connect Health agent for sync is installed automatically in the latest build of Azure AD Connect. Als u Azure AD Connect Health for Sync wilt gebruiken, moet u de nieuwste verzie van Azure AD Connect downloaden en installeren.To use Azure AD Connect for sync, you need to download the latest version of Azure AD Connect and install it. U kunt de nieuwste versie hier downloaden.You can download the latest version here.

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de server.To verify the agent has been installed, look for the following services on the server. Als de configuratie is voltooid, moeten deze services worden uitgevoerd.If you completed the configuration, they should already be running. Ze worden pas gestart wanneer de configuratie is voltooid.Otherwise, they are stopped until the configuration is complete.

    • Azure AD Connect Health Sync Insights-serviceAzure AD Connect Health Sync Insights Service
    • Azure AD Connect Health Sync Monitoring-serviceAzure AD Connect Health Sync Monitoring Service

    Azure AD Connect Health for Sync verifiëren

    Notitie

    Als u Azure AD Connect Health wilt gebruiken, is Azure AD Premium vereist.Remember that using Azure AD Connect Health requires Azure AD Premium. Als u niet over Azure AD Premium beschikt, kunt u de configuratie in Azure Portal niet voltooien.If you do not have Azure AD Premium, you are unable to complete the configuration in the Azure portal. Voor meer informatie raadpleegt u de pagina met vereisten.For more information, see the requirements page.

    Handmatige Azure AD Connect Health for Sync-registratieManual Azure AD Connect Health for Sync registration

    Als de registratie van de Azure AD Connect Health for Sync-agent mislukt nadat Azure AD Connect is geïnstalleerd, kunt u de volgende PowerShell-opdracht gebruiken om de agent handmatig te registreren.If the Azure AD Connect Health for Sync agent registration fails after successfully installing Azure AD Connect, you can use the following PowerShell command to manually register the agent.

    Belangrijk

    U hoeft deze PowerShell-opdracht alleen te gebruiken als het registreren van de agent mislukt nadat Azure AD Connect is geïnstalleerd.Using this PowerShell command is only required if the agent registration fails after installing Azure AD Connect.

    De volgende PowerShell-opdracht is ALLEEN vereist als het registreren van de Health Agent mislukt nadat Azure AD Connect is geïnstalleerd en geconfigureerd.The following PowerShell command is required ONLY when the health agent registration fails even after a successful installation and configuration of Azure AD Connect. De Azure AD Connect Health-services worden niet gestart nadat de agent is geregistreerd.The Azure AD Connect Health services will start after the agent has been successfully registered.

    U kunt de Azure AD Connect Health for Sync-agent handmatig registreren aan de hand van de volgende PowerShell-opdracht:You can manually register the Azure AD Connect Health agent for sync using the following PowerShell command:

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    Voor de opdracht worden de volgende parameters gebruikt:The command takes following parameters:

    • AttributeFiltering : $true (standaard) - als Azure AD Connect de standaardkenmerkset niet synchroniseert en is geconfigureerd voor het gebruik van een gefilterde kenmerkset.AttributeFiltering: $true (default) - if Azure AD Connect is not syncing the default attribute set and has been customized to use a filtered attribute set. $false in andere gevallen.$false otherwise.
    • StagingMode : $false (standaard) - als de Azure AD Connect-server zich niet in de faseringsmodus bevindt, $true als de server is geconfigureerd voor de faseringsmodus.StagingMode: $false (default) - if the Azure AD Connect server is NOT in staging mode, $true if the server is configured to be in staging mode.

    Als u wordt gevraagd zich te verifiëren, moet u hetzelfde hoofdbeheerdersaccount gebruiken (zoals admin@domain.onmicrosoft.com) dat is gebruikt voor het configureren van Azure AD Connect.When prompted for authentication you should use the same global admin account (such as admin@domain.onmicrosoft.com) that was used for configuring Azure AD Connect.

    De Azure AD Connect Health-agent voor AD DS installerenInstalling the Azure AD Connect Health Agent for AD DS

    Dubbelklik op het .exe-bestand dat u hebt gedownload om de installatie van de agent te starten.To start the agent installation, double-click the .exe file that you downloaded. Klik in het eerste scherm op Installeren.On the first screen, click Install.

    Azure AD Connect Health verifiëren

    Wanneer de installatie is voltooid, klikt u op Nu configureren.Once the installation is finished, click Configure Now.

    Azure AD Connect Health verifiëren

    Er wordt een opdrachtprompt geopend, waarna PowerShell wordt gebruikt om Register-AzureADConnectHealthADDSAgent uit te voeren.A command prompt is launched, followed by some PowerShell that executes Register-AzureADConnectHealthADDSAgent. Als u wordt gevraagd om u aan te melden bij Azure, gaat u door en meldt u zich aan.When prompted to sign in to Azure, go ahead and sign in.

    Azure AD Connect Health verifiëren

    Na het aanmelden gaat PowerShell door.After signing in, PowerShell will continue. Zodra het proces is voltooid, kunt u PowerShell sluiten. De configuratie is dan voltooid.Once it completes, you can close PowerShell and the configuration is complete.

    De services worden automatisch gestart en de agent houdt zich bezig met het bewaken en verzamelen van gegevens.At this point, the services should be started automatically allowing the agent to monitor and gather data. In het PowerShell-venster worden waarschuwingen weergegeven als u niet aan alle vereisten hebt voldaan die in vorige gedeelten zijn beschreven.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Zorg ervoor dat u aan alle vereisten voldoet voordat u de agent installeert.Be sure to complete the requirements before installing the agent. In de schermafbeelding hieronder ziet u een voorbeeld van deze fouten.The following screenshot is an example of these errors.

    Azure AD Connect Health voor AD DS verifiëren

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de domeincontroller.To verify the agent has been installed, look for the following services on the domain controller.

    • Azure AD Connect Health AD DS Insights-serviceAzure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring-serviceAzure AD Connect Health AD DS Monitoring Service

    Als de configuratie is voltooid, worden deze services als het goed is al uitgevoerd.If you completed the configuration, these services should already be running. Ze worden pas gestart wanneer de configuratie is voltooid.Otherwise, they are stopped until the configuration is complete.

    Azure AD Connect Health verifiëren

    Snelle agent installatie op meerdere serversQuick agent installation in multiple servers

    1. Maak een gebruikers account in azure AD met een wacht woord.Create a user account in Azure AD with a password.
    2. Wijs de rol van eigenaar voor dit lokale Aad-account toe aan Azure AD Connect Health via de portal.Assign the Owner role for this local AAD account in Azure AD Connect Health via the portal. Volg de stappen die hierworden beschreven.Follow the steps here. Wijs de rol toe aan alle service-exemplaren.Assign the role to all service instances.
    3. Down load het exe MSI-bestand in de lokale domein controller voor installatie.Download the .exe MSI file in local domain controller for installation.
    4. Voer het volgende script uit om de registratie uit te voeren.Run the following script to registration. Vervang de para meters door het nieuwe gebruikers account en het bijbehorende wacht woord.Replace the parameters with the new user account created and its password.
    AdHealthAddsAgentSetup.exe /quiet
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
     
    Register-AzureADConnectHealthADDSAgent -UserPrincipalName $USERNAME -Credential $myCreds
    
    
    1. Wanneer u klaar bent, kunt u de toegang tot het lokale account verwijderen door een of meer van de volgende handelingen uit te voeren:Once you are done, you can remove access for the local account by doing one or more of the following:
      • De roltoewijzing voor het lokale account voor AAD Connect Health verwijderenRemove the role assignment for the local account for AAD Connect Health
      • Het wacht woord voor het lokale account draaien.Rotate the password for the local account.
      • Het lokale AAD-account uitschakelenDisable the AAD local account
      • Het lokale AAD-account verwijderenDelete the AAD local account

    Agentregistratie met behulp van PowerShellAgent Registration using PowerShell

    Wanneer u het juiste setup.exe-bestand hebt geïnstalleerd voor de agent, kunt u de agentregistratiestap uitvoeren met de volgende PowerShell-opdrachten (afhankelijk van de rol).After installing the appropriate agent setup.exe, you can perform the agent registration step using the following PowerShell commands depending on the role. Open een PowerShell-venster en voer de juiste opdracht uit:Open a PowerShell Window and execute the appropriate command:

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    
    

    In deze opdrachten worden referenties geaccepteerd als parameter voor het niet-interactief voltooien van de registratie op een Server Core-machine.These commands accept "Credential" as a parameter to complete the registration in a non-interactive manner or on a Server-Core machine.

    • De referenties kunnen worden vastgelegd in een PowerShell-variabele die wordt doorgegeven als parameter.The Credential can be captured in a PowerShell variable that is passed as a parameter.
    • U kunt een Azure AD-id opgeven waarmee agents kunnen worden geregistreerd en waarvoor MFA NIET is ingeschakeld.You can provide any Azure AD Identity that has access to register the agents and does NOT have MFA enabled.
    • Globale beheerders hebben standaard de mogelijkheid om agents te registreren.By default Global Admins have access to perform agent registration. U kunt ook andere id’s met minder bevoegdheden toestaan om deze stap uit te voeren.You can also allow other less privileged identities to perform this step. Meer informatie over Toegangsbeheer op basis van rollen.Read more about Role Based Access Control.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Azure AD Connect Health-agents configureren voor het gebruik van een HTTP-proxyConfigure Azure AD Connect Health Agents to use HTTP Proxy

    U kunt Azure AD Connect Health-agents configureren voor het gebruik van een HTTP-proxy.You can configure Azure AD Connect Health Agents to work with an HTTP Proxy.

    Notitie

    • Het gebruik van Netsh WinHttp set ProxyServerAddress wordt niet ondersteund, omdat de agent gebruikmaakt van System.Net om webaanvragen te doen in plaats van Windows HTTP-services.Using “Netsh WinHttp set ProxyServerAddress” is not supported as the agent uses System.Net to make web requests instead of Microsoft Windows HTTP Services.
    • Het geconfigureerde HTTP-proxyadres wordt gebruikt om versleutelde HTTPS-berichten door te geven.The configured Http Proxy address is used to pass-through encrypted Https messages.
    • Proxy’s die zijn geverifieerd (met HTTPBasic), worden niet ondersteund.Authenticated proxies (using HTTPBasic) are not supported.

    De Health Agent-proxyconfiguratie wijzigenChange Health Agent Proxy Configuration

    U hebt de volgende opties voor het configureren van de Azure AD Connect Health-agent voor het gebruik van een HTTP-proxy.You have the following options to configure Azure AD Connect Health Agent to use an HTTP Proxy.

    Notitie

    U moet alle Azure AD Connect Health-agentservices opnieuw opstarten om de proxyinstellingen bij te werken.All Azure AD Connect Health Agent services must be restarted, in order for the proxy settings to be updated. Voer de volgende opdracht uit:Run the following command:
    Restart-service AzureADConnectHealth *Restart-Service AzureADConnectHealth*

    Bestaande proxyinstellingen importerenImport existing proxy Settings

    Importeren vanuit Internet ExplorerImport from Internet Explorer

    Internet Explorer HTTP-proxy-instellingen kunnen worden geïmporteerd om te worden gebruikt door de Azure AD Connect Health-Agents.Internet Explorer HTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Voer op elke server waarop de Health-agent wordt uitgevoerd de volgende PowerShell-opdracht uit:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    
    Importeren vanaf WinHTTPImport from WinHTTP

    WinHTTP-proxy-instellingen kunnen worden geïmporteerd om te worden gebruikt door de Azure AD Connect Health-Agents.WinHTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Voer op elke server waarop de Health-agent wordt uitgevoerd de volgende PowerShell-opdracht uit:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Handmatig proxyadressen opgevenSpecify Proxy addresses manually

    U kunt handmatig een proxyserver opgeven door de volgende PowerShell-opdracht uit te voeren op elke server waarop de Health-agent wordt uitgevoerd:You can manually specify a proxy server on each of the servers running the Health Agent, by executing the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Voorbeeld: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver:443Example: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    • Het adres kan een oplosbare DNS-servernaam of een IPv4-adres zijn"address" can be a DNS resolvable server name or an IPv4 address
    • U hoeft geen poort op te geven."port" can be omitted. Indien u geen poort opgeeft, wordt 443 gekozen als standaardpoort.If omitted then 443 is chosen as default port.

    De bestaande proxyconfiguratie wissenClear existing proxy configuration

    U kunt de bestaande proxyconfiguratie wissen door de volgende opdracht uit te voeren:You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    De huidige proxyinstellingen lezenRead current proxy settings

    U kunt de volgende opdracht gebruiken om de momenteel geconfigureerde proxyinstellingen te lezen:You can read the currently configured proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings
    

    De verbinding met de Azure AD Connect Health-service testenTest Connectivity to Azure AD Connect Health Service

    Het is mogelijk dat er problemen optreden waardoor de verbinding tussen de Azure AD Connect Health-agent en de Azure AD Connect Health-service wordt verbroken.It is possible that issues may arise that cause the Azure AD Connect Health agent to lose connectivity with the Azure AD Connect Health service. Hierbij kan het gaan om netwerkproblemen, problemen met de machtigingen of andere problemen.These include network issues, permission issues, or various other reasons.

    Als de agent gedurende meer dan twee uur geen gegevens kan verzenden naar de Azure AD Connect Health-service, wordt er een waarschuwing weergegeven waarin staat dat de Health-servicegegevens niet up-to-date zijn.If the agent is unable to send data to the Azure AD Connect Health service for longer than two hours, it is indicated with the following alert in the portal: "Health Service data is not up to date." U kunt bevestigen dat de betrokken Azure AD Connect Health-agent gegevens kan uploaden naar de Azure AD Connect Health-service door de volgende PowerShell-opdracht uit te voeren:You can confirm if the affected Azure AD Connect Health agent is able to upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    De rolparameter heeft momenteel de volgende waarden:The role parameter currently takes the following values:

    • ADFSADFS
    • SynchroniserenSync
    • ADDSADDS

    Notitie

    Als u het connectiviteitshulpprogramma wilt gebruiken, moet u de agent eerst registreren.To use the connectivity tool, you must first complete the agent registration. Als u de registratie van de agent niet kunt voltooien, moet u ervoor zorgen dat u aan alle vereisten voor Azure AD Connect Health voldoet.If you are not able to complete the agent registration, make sure that you have met all the requirements for Azure AD Connect Health. Deze connectiviteitstest wordt standaard uitgevoerd tijdens de agentregistratie.This connectivity test is performed by default during agent registration.