Installera Microsoft Entra Anslut Health-agenter
I den här artikeln får du lära dig hur du installerar och konfigurerar Microsoft Entra Anslut Health-agenter.
Lär dig hur du laddar ned agenterna.
Kommentar
Microsoft Entra Anslut Health är inte tillgängligt i det kinesiska nationella molnet.
Krav
I följande tabell visas krav för att använda Microsoft Entra Anslut Health:
| Krav | Beskrivning |
|---|---|
| Du har en Microsoft Entra ID P1- eller P2-prenumeration. | Microsoft Entra Anslut Health är en funktion i Microsoft Entra ID P1 eller P2. Mer information finns i Registrera dig för Microsoft Entra ID P1 eller P2. Information om hur du startar en kostnadsfri 30-dagars utvärderingsversion finns i Starta en utvärderingsversion. |
| Du är global administratör i Microsoft Entra-ID. | För närvarande kan endast globala administratörskonton installera och konfigurera hälsoagenter. Mer information finns i Administrera din Microsoft Entra-katalog. Genom att använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du tillåta att andra användare i din organisation får åtkomst till Microsoft Entra Anslut Health. Mer information finns i Azure RBAC för Microsoft Entra Anslut Health. Viktigt: Använd ett arbets- eller skolkonto för att installera agenterna. Du kan inte använda ett Microsoft-konto för att installera agenterna. Mer information finns i Registrera dig för Azure som en organisation. |
| Microsoft Entra Anslut Health-agenten är installerad på varje målserver. | Hälsoagenter måste installeras och konfigureras på målservrar så att de kan ta emot data och tillhandahålla övervaknings- och analysfunktioner. Om du till exempel vill hämta data från din Active Directory Federation Services (AD FS) -infrastruktur (AD FS) måste du installera agenten på AD FS-servern och på webbservern Programproxy. På samma sätt måste du installera agenten på domänkontrollanterna för att hämta data från din lokala AD Domain Services-infrastruktur. |
| Azure-tjänstslutpunkterna har utgående anslutning. | Under installationen och körningen kräver agenten anslutning till Microsoft Entra Anslut Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning lägger du till slutpunkterna för utgående anslutning i en lista över tillåtna anslutningar. |
| Utgående anslutning baseras på IP-adresser. | Information om brandväggsfiltrering baserat på IP-adresser finns i Azure IP-intervall. |
| TLS-inspektion för utgående trafik filtreras eller inaktiveras. | Agentregistreringssteget eller datauppladdningsåtgärderna kan misslyckas om det finns TLS-inspektion eller avslutning för utgående trafik på nätverksskiktet. Mer information finns i Konfigurera TLS-inspektion. |
| Brandväggsportarna på servern kör agenten. | Agenten kräver att följande brandväggsportar är öppna så att den kan kommunicera med Microsoft Entra Anslut Health-tjänstslutpunkterna: – TCP-port 443 – TCP-port 5671 Den senaste versionen av agenten kräver inte port 5671. Uppgradera till den senaste versionen så att endast port 443 krävs. Mer information finns i Hybrididentitet som krävs portar och protokoll. |
| Om Förbättrad säkerhet i Internet Explorer är aktiverat tillåter du angivna webbplatser. | Om förbättrad säkerhet i Internet Explorer är aktiverat tillåter du följande webbplatser på servern där du installerar agenten: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net – Federationsservern för din organisation som är betrodd av Microsoft Entra-ID (till exempel https://sts.contoso.com). Mer information finns i Konfigurera Internet Explorer. Om du har en proxy i nätverket kan du läsa anteckningen som visas i slutet av den här tabellen. |
| PowerShell version 5.0 eller senare installeras. | Windows Server 2016 innehåller PowerShell version 5.0. |
Viktigt!
Windows Server Core stöder inte installation av Microsoft Entra Anslut Health-agenten.
Kommentar
Om du har en mycket låst och begränsad miljö måste du lägga till fler URL:er än URL:erna i tabelllistorna för Förbättrad säkerhet i Internet Explorer. Lägg också till URL:er som visas i tabellen i nästa avsnitt.
Nya versioner av agenten och automatisk uppgradering
Om en ny version av hälsoagenten släpps uppdateras alla befintliga installerade agenter automatiskt.
Utgående anslutning till Azure-tjänstslutpunkter
Under installationen och körningen behöver agenten anslutning till Microsoft Entra Anslut Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutning kontrollerar du att URL:erna i följande tabell inte blockeras som standard.
Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er. Tillåt dem i stället som du skulle tillåta annan Internettrafik.
Dessa URL:er tillåter kommunikation med Microsoft Entra Anslut Health-tjänstslutpunkter. Senare i den här artikeln får du lära dig hur du checkar utgående anslutning med hjälp Test-MicrosoftEntraConnectHealthConnectivityav .
| Domänmiljö | Nödvändiga Azure-tjänsteslutpunkter |
|---|---|
| Allmänt offentligt | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net – Port: 5671 (om 5671 blockeras faller agenten tillbaka till 443, men vi rekommenderar att du använder port 5671. Den här slutpunkten krävs inte i den senaste versionen av agenten.)- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - http://www.microsoft.com - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (Den här slutpunkten används endast i identifieringssyfte under registreringen.)- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Ladda ned agenterna
Så här laddar du ned och installerar Microsoft Entra Anslut Health-agenten:
- Kontrollera att du uppfyller kraven för att installera Microsoft Entra Anslut Health.
- Kom igång med Microsoft Entra Anslut Health för AD FS:
- Kom igång med Microsoft Entra Anslut Health för synkronisering:
- Ladda ned och installera den senaste versionen av Microsoft Entra Anslut. Hälsoagenten för synkronisering installeras som en del av Microsoft Entra-Anslut installation (version 1.0.9125.0 eller senare).
- Kom igång med Microsoft Entra Anslut Health för AD Domain Services:
Installera agenten för AD FS
Information om hur du installerar och övervakar AD FS med Microsoft Entra Anslut Health-agenten finns i Microsoft Entra Anslut Health-agenter för AD FS.
Installera agenten för synkronisering
Microsoft Entra Anslut Health-agenten för synkronisering installeras automatiskt i den senaste versionen av Microsoft Entra Anslut. Om du vill använda Microsoft Entra Anslut för synkronisering laddar du ned den senaste versionen av Microsoft Entra Anslut och installerar den.
Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör tjänsterna redan köras. Annars stoppas tjänsterna tills konfigurationen är klar.
- Microsoft Entra Anslut Agent Updater
- Microsoft Entra Anslut Health Agent
Kommentar
Kom ihåg att du måste ha Microsoft Entra ID P1 eller P2 för att använda Microsoft Entra Anslut Health. Om du inte har Microsoft Entra ID P1 eller P2 kan du inte slutföra konfigurationen i administrationscentret för Microsoft Entra. Mer information finns i kraven.
Registrera Microsoft Entra Anslut Health manuellt för synkronisering
Om Microsoft Entra Anslut Health för synkroniseringsagentregistrering misslyckas när du har installerat Microsoft Entra Anslut kan du använda ett PowerShell-kommando för att registrera agenten manuellt.
Viktigt!
Använd endast det här PowerShell-kommandot om agentregistreringen misslyckas när du har installerat Microsoft Entra Anslut.
Registrera Microsoft Entra Anslut Health-agenten manuellt för synkronisering med hjälp av följande PowerShell-kommando. Microsoft Entra Anslut Health-tjänsterna startar när agenten har registrerats.
Register-MicrosoftEntraConnectHealthAgent -AttributeFiltering $true -StagingMode $false
Kommandot stöder följande parametrar:
AttributeFiltering:$true(standard) om Microsoft Entra Anslut inte synkroniserar standardattributuppsättningen och har anpassats för att använda en filtrerad attributuppsättning. Annars använder du$false.StagingMode:$false(standard) om Microsoft Entra Anslut-servern inte är i mellanlagringsläge. Om servern är konfigurerad för att vara i mellanlagringsläge använder du$true.
När du uppmanas till autentisering använder du samma globala administratörskonto (till exempel ) som admin@domain.onmicrosoft.comdu använde för att konfigurera Microsoft Entra Anslut.
Installera agenten för AD Domain Services
Starta agentinstallationen genom att dubbelklicka på den .exe fil som du laddade ned. I det första fönstret väljer du Installera.
När du uppmanas att logga in med ett Microsoft Entra-konto som har behörighet att registrera agenten. Som standard har hybrididentitetsadministratörskontot behörigheter.
När du har loggat in slutförs installationsprocessen och du kan stänga fönstret.
Nu bör agenttjänsterna börja automatiskt tillåta att agenten på ett säkert sätt överför nödvändiga data till molntjänsten.
Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Dessa tjänster bör köras om du har slutfört konfigurationen. Annars stoppas de tills konfigurationen är klar.
- Microsoft Entra Anslut Agent Updater
- Microsoft Entra Anslut Health Agent
Installera agenten snabbt på flera servrar
Skapa ett användarkonto i Microsoft Entra-ID. Skydda kontot med hjälp av ett lösenord.
Tilldela rollen Ägare för det här lokala Microsoft Entra-kontot i Microsoft Entra Anslut Health med hjälp av portalen. Tilldela rollen till alla tjänstinstanser.
Ladda ned .exe MSI-filen i den lokala domänkontrollanten för installationen.
Kör följande skript. Ersätt parametrarna med ditt nya användarkonto och dess lösenord.
AdHealthAddsAgentSetup.exe /quiet Start-Sleep 30 $userName = "NEWUSER@DOMAIN" $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd) import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds" Register-MicrosoftEntraConnectHealthAgent -Credential $myCreds
När du är klar kan du ta bort åtkomsten för det lokala kontot genom att utföra en eller flera av följande uppgifter:
- Ta bort rolltilldelningen för det lokala kontot för Microsoft Entra Anslut Health.
- Rotera lösenordet för det lokala kontot.
- Inaktivera det lokala Microsoft Entra-kontot.
- Ta bort det lokala Microsoft Entra-kontot.
Registrera agenten med hjälp av PowerShell
När du har installerat relevant agent setup.exe fil kan du registrera agenten med hjälp av följande PowerShell-kommandon, beroende på roll. Öppna PowerShell som administratör och kör det relevanta kommandot:
Register-MicrosoftEntraConnectHealthAgent
Kommentar
Om du vill registrera dig mot nationella moln använder du följande kommandorader:
Register-MicrosoftEntraConnectHealthAgent -UserPrincipalName upn-of-the-user
Dessa kommandon accepterar Credential som en parameter för att slutföra registreringen icke-interaktivt eller för att slutföra registreringen på en dator som kör Server Core. Tänk på följande faktorer:
- Du kan avbilda
Credentiali en PowerShell-variabel som skickas som en parameter. - Du kan ange alla Microsoft Entra-identiteter som har behörighet att registrera agenterna och som inte har multifaktorautentisering aktiverat.
- Som standard har globala administratörer behörighet att registrera agenterna. Du kan också tillåta att mindre privilegierade identiteter gör det här steget. Mer information finns i Azure RBAC.
$cred = Get-Credential
Register-MicrosoftEntraConnectHealthAgent -Credential $cred
Konfigurera Microsoft Entra Anslut Health-agenter att använda HTTP-proxy
Du kan konfigurera Microsoft Entra Anslut Health-agenter så att de fungerar med en HTTP-proxy.
Kommentar
Netsh WinHttp set ProxyServerAddressstöds inte. Agenten använder System.Net i stället för Windows HTTP Services för att göra webbbegäranden.- Den konfigurerade HTTP-proxyadressen används för att skicka krypterade HTTPS-meddelanden.
- Autentiserade proxyservrar (med HTTPBasic) stöds inte.
Ändra agentproxykonfigurationen
Om du vill konfigurera Microsoft Entra Anslut Health-agenten så att den använder en HTTP-proxy kan du:
- Importera befintliga proxyinställningar.
- Ange proxyadresser manuellt.
- Rensa den befintliga proxykonfigurationen.
Kommentar
Om du vill uppdatera proxyinställningarna måste du starta om alla Microsoft Entra-Anslut Health-agenttjänster. Starta om alla agenter genom att köra följande kommando:
Restart-Service AzureADConnectHealthAgent*
Importera befintliga proxyinställningar
Du kan importera HTTP-proxyinställningar för Internet Explorer så att Microsoft Entra Anslut Health-agenter kan använda inställningarna. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromInternetSettings
Du kan importera WinHTTP-proxyinställningar så att Microsoft Entra-Anslut Health-agenter kan använda dem. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -ImportFromWinHttp
Ange proxyadresser manuellt
Du kan ange en proxyserver manuellt. Kör följande PowerShell-kommando på var och en av servrarna som kör hälsoagenten:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress address:port
Här är ett exempel:
Set-MicrosoftEntraConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443
I det här exemplet:
- Inställningen
addresskan vara ett DNS-matchbart servernamn eller en IPv4-adress. - Du kan utelämna
port. Om du gör det är 443 standardporten.
Rensa den befintliga proxykonfigurationen
Du kan rensa den befintliga proxykonfigurationen genom att köra följande kommando:
Set-MicrosoftEntraConnectHealthProxySettings -NoProxy
Läsa de aktuella proxyinställningarna
Du kan läsa de aktuella proxyinställningarna genom att köra följande kommando:
Get-MicrosoftEntraConnectHealthProxySettings
Testa anslutningen till Microsoft Entra Anslut Health-tjänsten
Ibland förlorar Microsoft Entra Anslut Health-agenten anslutningen till Microsoft Entra Anslut Health-tjänsten. Orsaker till den här anslutningsförlusten kan vara nätverksproblem, behörighetsproblem och olika andra problem.
Om agenten inte kan skicka data till Microsoft Entra Anslut Health-tjänsten i mer än två timmar visas följande avisering i portalen: Hälsotjänst data inte är uppdaterade.
Du kan ta reda på om den berörda Microsoft Entra Anslut Health-agenten kan ladda upp data till Microsoft Entra Anslut Health-tjänsten genom att köra följande PowerShell-kommando:
Test-MicrosoftEntraConnectHealthConnectivity -Role ADFS
Parametern Role tar för närvarande följande värden:
ADFSSyncADDS
Kommentar
Om du vill använda anslutningsverktyget måste du först registrera agenten. Om du inte kan slutföra agentregistreringen kontrollerar du att du uppfyller alla krav för Microsoft Entra Anslut Health. Anslut ivity testas som standard under agentregistreringen.
Nästa steg
Kolla in följande relaterade artiklar:
- Microsoft Entra Anslut Health
- Microsoft Entra Anslut Health-åtgärder
- Använda Microsoft Entra Anslut Health med AD FS
- Använda Microsoft Entra Anslut Health för synkronisering
- Använda Microsoft Entra Anslut Health med AD Domain Services
- Vanliga frågor och svar om Microsoft Entra Anslut Health
- Versionshistorik för Microsoft Entra Anslut Health