Installation av Azure AD Anslut Health-agenten

  • Artikel
  • 13 minuter för att läsa

I den här artikeln får du lära dig hur du installerar och konfigurerar Azure Active Directory (Azure AD) Anslut Health-agenter. Information om hur du laddar ned agenterna finns i dessa instruktioner.

Krav

I följande tabell visas kraven för att använda Azure AD Anslut Health.

Krav Beskrivning
Det finns en Azure AD Premium (P1 eller P2) avsciption. Azure AD Anslut Health är en funktion i Azure AD Premium (P1 eller P2). Mer information finns i Registrera dig för Azure AD Premium.

Om du vill starta en kostnadsfri 30-dagars utvärderingsversion kan du gå till Starta en utvärderingsversion.
Du är global administratör i Azure AD. Som standard kan endast globala administratörer installera och konfigurera hälsoagenter, få åtkomst till portalen och göra åtgärder i Azure AD Anslut Health. Mer information finns i Administrera Azure AD-katalogen.

Genom att använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du ge andra användare i din organisation åtkomst till Azure AD Anslut Health. Mer information finns i Azure RBAC för Azure AD Anslut Health.

Viktigt! Använd ett arbets- eller skolkonto för att installera agenterna. Du kan inte använda en Microsoft-konto. Mer information finns i Registrera dig för Azure som en organisation.
Azure AD Anslut Health-agenten installeras på varje målserver. Hälsotillståndsagenter måste installeras och konfigureras på målservrar så att de kan ta emot data och tillhandahålla övervaknings- och analysfunktioner.

Om du till exempel vill hämta data från Active Directory Federation Services (AD FS)-infrastrukturen (AD FS) måste du installera agenten på AD FS-servern och Programproxy webbservern. Om du vill hämta data från din lokala Azure AD Domain Services (Azure AD DS)-infrastruktur måste du installera agenten på domänkontrollanterna.
Azure-tjänstslutpunkterna har utgående anslutning. Under installation och körning kräver agenten anslutning till Azure AD Connect Health-tjänstens slutpunkter. Om brandväggar blockerar utgående anslutningar lägger du till de utgående anslutningsslutpunkterna i listan över tillåtna anslutningar.
Utgående anslutningar baseras på IP-adresser. Information om brandväggsfiltrering baserat på IP-adresser finns i Azure IP-intervall.
TLS-kontroll för utgående trafik filtreras eller inaktiveras. Agentregistreringssteget eller dataöverföringsåtgärder kan misslyckas om det finns en TLS-kontroll eller avslutning för utgående trafik på nätverkslagret. Mer information finns i Konfigurera TLS-kontroll.
Brandväggsportar på servern kör agenten. Agenten kräver att följande brandväggsportar är öppna så att den kan kommunicera med Azure AD Anslut Health-tjänstslutpunkter:
  • TCP-port 443
  • TCP-port 5671

    • Den senaste versionen av agenten kräver inte port 5671. Uppgradera till den senaste versionen så att endast port 443 krävs. Mer information finns i Portar och protokoll som krävs för hybrididentitet.
    Om Internet Explorer förbättrad säkerhet är aktiverat tillåter du angivna webbplatser. Om Internet Explorer förbättrad säkerhet är aktiverat kan du tillåta följande webbplatser på den server där du installerar agenten:
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.net
  • https: / /aadcdn.msftauth.net
  • Federationsservern för din organisation som är betrodd av Azure AD (till exempel https: / /sts.contoso.com)

    • Mer information finns i Så här konfigurerar du Internet Explorer. Om du har en proxyserver i nätverket ser du anteckningen som visas i slutet av den här tabellen.
    PowerShell version 5.0 eller senare har installerats. Windows Server 2016 powershell version 5.0.
    FIPS (Federal Information Processing Standard) är inaktiverat. Azure AD Anslut Health-agenter stöder inte FIPS.

    Viktigt

    Windows Server Core stöder inte installation av Azure AD Anslut Health-agenten.

    Anteckning

    Om du har en mycket låst och begränsad miljö måste du lägga till fler URL:er än dem som tabelllistorna innehåller för Internet Explorer förbättrad säkerhet. Lägg även till URL:er som visas i tabellen i nästa avsnitt.

    Utgående anslutning till Azure-tjänstens slutpunkter

    Under installation och körning behöver agenten anslutning till Azure AD Anslut Health-tjänstslutpunkter. Om brandväggar blockerar utgående anslutningar kontrollerar du att URL:erna i följande tabell inte blockeras som standard.

    Inaktivera inte säkerhetsövervakning eller inspektion av dessa URL:er. I stället tillåter du dem på samma sätt som du tillåter annan Internettrafik.

    Dessa URL:er tillåter kommunikation med Azure AD Anslut Health-tjänstslutpunkter. Senare i den här artikeln får du lära dig hur du kontrollerar utgående anslutningar med hjälp av Test-AzureADConnectHealthConnectivity .

    Domänmiljö Nödvändiga Azure-tjänsteslutpunkter
    Allmän publik
  • *.blob.core.windows.net
  • *.aadconnecthealth.azure.com
  • *.servicebus.windows.net – Port: 5671 (den här slutpunkten krävs inte i den senaste versionen av agenten.)
  • *.adhybridhealth.azure.com/
  • https://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.net
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https: / /www.office.com (den här slutpunkten används endast i identifieringssyfte under registreringen.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•
    Azure Tyskland
  • *.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.de
  • https: / /www.office.de (den här slutpunkten används endast i identifieringssyfte under registreringen.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•
    Azure Government
  • *.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.com
  • https: / /www.office.com (den här slutpunkten används endast i identifieringssyfte under registreringen.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•

    Installera agenten

    Så här laddar du ned och installerar Azure AD Anslut Health-agenten:

    Installera agenten för AD FS

    Anteckning

    Din AD FS ska vara annorlunda än synkroniseringsservern. Installera inte agenten AD FS på synkroniseringsservern.

    Innan du installerar agenten kontrollerar du att AD FS-serverns värdnamn är unikt och inte finns i AD FS tjänsten. Starta agentinstallationen genom att dubbelklicka på .exe som du laddade ned. I det första fönstret väljer du Installera.

    Skärmbild som visar installationsfönstret för Azure AD Anslut Health AD FS agenten.

    När installationen är klar väljer du Konfigurera nu.

    Skärmbild som visar bekräftelsemeddelandet för installationen av Azure AD Anslut Health AD FS-agenten.

    Ett PowerShell-fönster öppnas för att starta agentregistreringsprocessen. När du uppmanas till det loggar du in med ett Azure AD-konto som har behörighet att registrera agenten. Som standard har det globala administratörskontot behörigheter.

    Skärmbild som visar inloggningsfönstret för Azure AD Anslut Health AD FS.

    När du har loggat in fortsätter PowerShell. När den är klar kan du stänga PowerShell. Konfigurationen är klar.

    Nu bör agenttjänsterna starta automatiskt för att agenten ska kunna ladda upp nödvändiga data till molntjänsten på ett säkert sätt.

    Om du inte har uppfyllt alla krav visas varningar i PowerShell-fönstret. Se till att uppfylla kraven innan du installerar agenten. Följande skärmbild visar ett exempel på dessa varningar.

    Skärmbild som visar Azure AD Anslut Health AD FS konfigurera skript.

    Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Dessa tjänster bör köras om du har slutfört konfigurationen. Annars stoppas de tills konfigurationen är klar.

    • Azure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring Service

    Skärmbild som visar Azure AD Anslut Health AD FS services.

    Aktivera granskning för AD FS

    Anteckning

    Det här avsnittet gäller endast för AD FS servrar. Du behöver inte följa dessa steg på webbaserade Programproxy servrar.

    Funktionen Användningsanalys måste samla in och analysera data. Därför behöver Azure AD Anslut Health-agenten informationen i AD FS granskningsloggar. De här loggarna är inte aktiverade som standard. Använd följande procedurer för att AD FS granskning och hitta AD FS på dina AD FS servrar.

    Så här aktiverar du granskning för AD FS i Windows Server 2012 R2

    1. Öppna Startskärmen på Serverhanteraren och öppna sedan Lokal säkerhetsprincip. Eller i aktivitetsfältet, öppna Serverhanteraren och välj sedan Verktyg/Lokal säkerhetsprincip.

    2. Gå till mappen Security Inställningar\Local Policies\User Rights Assignment. Dubbelklicka sedan på Generera säkerhetsgranskningar.

    3. På fliken Lokal säkerhetsinställning kontrollerar du att AD FS-tjänstkontot visas. Om den inte visas väljer du Lägg till användare eller grupp och lägger till den i listan. Välj sedan OK.

    4. Om du vill aktivera granskning öppnar du ett kommandotolkfönster med utökade privilegier. Kör följande kommando:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Stäng Lokal säkerhetsprincip.

      Viktigt

      Följande steg krävs endast för primära AD FS servrar.

    6. Öppna snapin-modulen AD FS-hantering. (I Serverhanteraren väljer du Verktyg > AD FS Management.)

    7. I fönstret Åtgärder väljer du Redigera Federationstjänst Egenskaper.

    8. I dialogrutan Federationstjänst egenskaper väljer du fliken Händelser.

    9. Markera kryssrutorna Lyckade granskningar och Misslyckade granskningar och välj sedan OK.

    10. Om du vill aktivera utförlig loggning via PowerShell använder du följande kommando:

      Set-AdfsProperties -LOGLevel Verbose

    Så här aktiverar du granskning för AD FS i Windows Server 2016

    1. Öppna Startskärmen på Serverhanteraren och öppna sedan Lokal säkerhetsprincip. Eller i aktivitetsfältet, öppna Serverhanteraren och välj sedan Verktyg/Lokal säkerhetsprincip.

    2. Gå till mappen Security Inställningar\Local Policies\User Rights Assignment och dubbelklicka sedan på Generera säkerhetsgranskningar.

    3. På fliken Lokal säkerhetsinställning kontrollerar du att AD FS-tjänstkontot visas. Om den inte visas väljer du Lägg till användare eller grupp och lägger till AD FS-tjänstkontot i listan. Välj sedan OK.

    4. Om du vill aktivera granskning öppnar du ett kommandotolkfönster med utökade privilegier. Kör följande kommando:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Stäng Lokal säkerhetsprincip.

      Viktigt

      Följande steg krävs endast för primära AD FS servrar.

    6. Öppna snapin-modulen AD FS-hantering. (I Serverhanteraren väljer du Verktyg > AD FS Management.)

    7. I fönstret Åtgärder väljer du Redigera Federationstjänst Egenskaper.

    8. I dialogrutan Federationstjänst egenskaper väljer du fliken Händelser.

    9. Markera kryssrutorna Lyckade granskningar och Misslyckade granskningar och välj sedan OK. Lyckade granskningar och felgranskningar bör vara aktiverade som standard.

    10. Öppna ett PowerShell-fönster och kör följande kommando:

      Set-AdfsProperties -AuditLevel Verbose

    Den "grundläggande" granskningsnivån är aktiverad som standard. Mer information finns i AD FS granskningsförbättring i Windows Server 2016.

    Så här hittar du AD FS-granskningsloggar

    1. Öppna Loggboken.

    2. Gå till Windows loggar och välj sedan Säkerhet.

    3. Till höger väljer du Filtrera aktuella loggar.

    4. För Händelsekällor väljer du AD FS Granskning.

      Mer information om granskningsloggar finns i Driftfrågor.

      Skärmbild som visar fönstret Filtrera aktuell logg. I fältet "Händelsekällor" är "AD FS granskning" markerat.

    Varning

    En grupprincip kan inaktivera AD FS-granskning. Om AD FS granskning är inaktiverat är användningsanalys om inloggningsaktiviteter inte tillgänglig. Kontrollera att du inte har någon grupprincip som inaktiverar AD FS granskning.

    Installera agenten för synkronisering

    Azure AD Anslut Health-agenten för Synkronisering installeras automatiskt i den senaste versionen av Azure AD Anslut. Om du vill använda Azure AD Anslut for Sync laddar du ned den senaste versionen av Azure AD Anslut och installerar den.

    Kontrollera att agenten har installerats genom att leta efter följande tjänster på servern. Om du har slutfört konfigurationen bör tjänsterna redan köras. Annars stoppas tjänsterna tills konfigurationen är klar.

    • Azure AD Connect Health Sync Insights Service
    • Azure AD Connect Health Sync Monitoring Service

    Skärmbild som visar Azure AD-Anslut Health för synkroniseringstjänster på servern.

    Anteckning

    Kom ihåg att du måste Azure AD Premium (P1 eller P2) för att använda Azure AD Anslut Health. Om du inte har Azure AD Premium kan du inte slutföra konfigurationen i Azure Portal. Mer information finns i kraven.

    Registrera Azure AD Anslut Health för synkronisering manuellt

    Om agentregistreringen för Azure AD Anslut Health for Sync misslyckas när du har installerat Azure AD Anslut kan du använda ett PowerShell-kommando för att registrera agenten manuellt.

    Viktigt

    Använd bara det här PowerShell-kommandot om agentregistreringen misslyckas när du har installerat Azure AD Anslut.

    Registrera Azure AD Anslut Health-agenten manuellt för Sync med hjälp av följande PowerShell-kommando. Azure AD Connect Health-tjänsterna startar efter att agenten har registrerats.

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

    Kommandot stöder följande parametrar:

    • AttributeFiltering:(standard) om Azure AD Anslut inte synkroniserar standardattributuppsättningen och har anpassats för att använda $true en filtrerad attributuppsättning. Annars använder du $false .
    • StagingMode: $false (standard) om Azure AD Anslut servern inte är i mellanlagringsläge. Om servern är konfigurerad att vara i mellanlagringsläge använder du $true .

    När du uppmanas att autentisera använder du samma globala administratörskonto (till exempel ) som du använde för att konfigurera admin@domain.onmicrosoft.com Azure AD-Anslut.

    Installera agenten för Azure AD DS

    Starta agentinstallationen genom att dubbelklicka på den .exe som du laddade ned. I det första fönstret väljer du Installera.

    Skärmbild som visar installationsfönstret för Azure AD Anslut Health-agenten för AD DS.

    När installationen är klar väljer du Konfigurera nu.

    Skärmbild som visar fönstret som slutför installationen av Azure AD Anslut Health-agenten för Azure AD DS.

    Ett kommandotolk öppnas. PowerShell kör Register-AzureADConnectHealthADDSAgent . Logga in på Azure när du uppmanas till det.

    Skärmbild som visar inloggningsfönstret för Azure AD Anslut Health-agenten för Azure AD DS.

    När du har loggat in fortsätter PowerShell. När den är klar kan du stänga PowerShell. Konfigurationen är klar.

    Nu bör tjänsterna startas automatiskt, så att agenten kan övervaka och samla in data. Om du inte har uppfyllt alla krav som beskrivs i föregående avsnitt visas varningar i PowerShell-fönstret. Se till att slutföra kraven innan du installerar agenten. Följande skärmbild visar ett exempel på dessa varningar.

    Skärmbild som visar en varning för Azure AD Anslut Health-agenten för Azure AD DS konfiguration.

    Kontrollera att agenten är installerad genom att leta efter följande tjänster på domänkontrollanten:

    • Azure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring Service

    Dessa tjänster bör köras om du har slutfört konfigurationen. Annars stoppas de tills konfigurationen är klar.

    Skärmbild som visar de tjänster som körs på domänkontrollanten.

    Installera snabbt agenten på flera servrar

    1. Skapa ett användarkonto i Azure AD. Skydda den med ett lösenord.

    2. Tilldela ägarrollen för det här lokala Azure AD-kontot i Azure AD Anslut Health med hjälp av portalen. Följ dessa steg. Tilldela rollen till alla tjänstinstanser.

    3. Ladda ned .exe MSI-fil i den lokala domänkontrollanten för installationen.

    4. Kör följande skript. Ersätt parametrarna med ditt nya användarkonto och dess lösenord.

      AdHealthAddsAgentSetup.exe /quiet
Start-Sleep 30
$userName = "NEWUSER@DOMAIN"
$secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
$myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"

Register-AzureADConnectHealthADDSAgent -Credential $myCreds

    När du är klar kan du ta bort åtkomsten för det lokala kontot genom att utföra en eller flera av följande uppgifter:

    • Ta bort rolltilldelningen för det lokala kontot för Azure AD Anslut Health.
    • Rotera lösenordet för det lokala kontot.
    • Inaktivera det lokala Azure AD-kontot.
    • Ta bort det lokala Azure AD-kontot.

    Registrera agenten med hjälp av PowerShell

    När du har installerat setup.exe agentfilen kan du registrera agenten med hjälp av följande PowerShell-kommandon, beroende på rollen. Öppna ett PowerShell-fönster och kör lämpligt kommando:

    Register-AzureADConnectHealthADFSAgent
Register-AzureADConnectHealthADDSAgent
Register-AzureADConnectHealthSyncAgent

    Anteckning

    Om du vill registrera dig mot nationella moln använder du följande kommandorader:

    Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

    Dessa kommandon accepterar Credential som en parameter för att slutföra registreringen icke-interaktivt eller för att slutföra registreringen på en dator som kör Server Core. Tänk på att:

    • Du kan avbilda Credential i en PowerShell-variabel som skickas som en parameter.
    • Du kan ange valfri Azure AD-identitet som har behörighet att registrera agenterna och som inte har multifaktorautentisering aktiverad.
    • Som standard har globala administratörer behörighet att registrera agenterna. Du kan också tillåta mindre privilegierade identiteter att göra det här steget. Mer information finns i Azure RBAC.
        $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

    Konfigurera Azure AD Anslut Health-agenter att använda HTTP-proxy

    Du kan konfigurera Azure AD Anslut Health-agenter så att de fungerar med en HTTP-proxy.

    Anteckning

    • Netsh WinHttp set ProxyServerAddress stöds inte. Agenten använder System.Net i stället för Windows HTTP-tjänster för att göra webbförfrågningar.
    • Den konfigurerade HTTP-proxyadressen används för att skicka krypterade HTTPS-meddelanden.
    • Autentiserade proxyservrar (med HTTPBasic) stöds inte.

    Ändra agentproxykonfigurationen

    Om du vill konfigurera Azure AD Anslut Health-agenten att använda en HTTP-proxy kan du:

    • Importera befintliga proxyinställningar.
    • Ange proxyadresser manuellt.
    • Rensa den befintliga proxykonfigurationen.

    Anteckning

    Om du vill uppdatera proxyinställningarna måste du starta om alla Azure AD-Anslut Health-agenttjänster. Kör följande kommando:

    Restart-Service AzureADConnectHealth*

    Importera befintliga proxyinställningar

    Du kan importera Internet Explorer HTTP-proxyinställningar så att Azure AD Anslut Health-agenter kan använda inställningarna. Kör följande PowerShell-kommando på var och en av de servrar som kör hälsoagenten:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

    Du kan importera WinHTTP-proxyinställningar så att Azure AD Anslut Health-agenterna kan använda dem. Kör följande PowerShell-kommando på var och en av de servrar som kör hälsoagenten:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

    Ange proxyadresser manuellt

    Du kan ange en proxyserver manuellt. Kör följande PowerShell-kommando på var och en av de servrar som kör hälsoagenten:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

    Här är ett exempel:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    I det här exemplet:

    • Inställningen address kan vara ett DNS-matchningsbart servernamn eller en IPv4-adress.
    • Du kan utelämna port . Om du gör det är 443 standardporten.

    Rensa den befintliga proxykonfigurationen

    Du kan rensa den befintliga proxykonfigurationen genom att köra följande kommando:

    Set-AzureAdConnectHealthProxySettings -NoProxy

    Läsa de aktuella proxyinställningarna

    Du kan läsa de aktuella proxyinställningarna genom att köra följande kommando:

    Get-AzureAdConnectHealthProxySettings

    Testa anslutningen till Azure AD Anslut Health-tjänsten

    Ibland kan Azure AD Anslut Health-agenten förlora anslutningen till Azure AD Anslut Health-tjänsten. Orsakerna till den här anslutningsförlusten kan vara nätverksproblem, behörighetsproblem och andra problem.

    Om agenten inte kan skicka data till Azure AD Anslut Health-tjänsten under mer än två timmar visas följande avisering i portalen: "Hälsotjänst data är inte uppdaterade."

    Du kan ta reda på om den berörda Azure AD Anslut Health-agenten kan ladda upp data till Azure AD Anslut Health-tjänsten genom att köra följande PowerShell-kommando:

    Test-AzureADConnectHealthConnectivity -Role ADFS

    Rollparametern har för närvarande följande värden:

    • ADFS
    • Synkronisera
    • ADDS

    Anteckning

    Om du vill använda anslutningsverktyget måste du först registrera agenten. Om du inte kan slutföra agentregistreringen kontrollerar du att du har uppfyllt alla krav för Azure AD Anslut Health. Anslutningen testas som standard under agentregistreringen.

    Nästa steg

    Kolla in följande relaterade artiklar: