Administrar Microsoft Entra Health

  • 7 minutos

En esta sección se describen las distintas operaciones que se pueden realizar mediante Microsoft Entra Connect Health.

Habilitación de notificaciones de correo electrónico

Puede configurar el servicio Microsoft Entra Connect Health para enviar notificaciones por correo electrónico cuando las alertas indiquen que su infraestructura de identidad no está en buen estado. Esto se produce cuando se genera una alerta y cuando se resuelve.

Screenshot of Microsoft Entra Connect Health email notification settings. Enter your admin's email.

Nota:

Las notificaciones de correo electrónico están habilitadas de forma predeterminada.

Para habilitar las notificaciones por correo electrónico de Microsoft Entra Connect Health

  1. Abra la hoja Alertas del servicio para el que desea recibir una notificación de correo electrónico.
  2. Haga clic en el botón Configuración de notificaciones de la barra de acciones.
  3. En el modificador de la opción Notificación de correo electrónico, seleccione ON (Activado).
  4. Seleccione la casilla si desea que todos los administradores globales reciban notificaciones de correo electrónico.
  5. Si desea recibir notificaciones de correo electrónico en otras direcciones de correo electrónico, puede especificarlas en el cuadro Destinatario de correo electrónico adicional. Para quitar una dirección de correo electrónico de esta lista, haga clic con el botón derecho en la entrada y seleccione Eliminar.
  6. Para finalizar los cambios, haga clic en Guardar. Los cambios surtirán efecto después de guardar.

Nota:

Cuando hay problemas para procesar solicitudes de sincronización en nuestro servicio de back-end, este servicio envía un correo electrónico de notificación con los detalles del error a las direcciones de correo electrónico de los contactos administrativos de su inquilino. Hemos recibido comentarios de clientes en los que afirman que, en determinados casos, el volumen de estos mensajes es excesivo, por lo que estamos cambiando la forma en que se envían.

En lugar de enviar un mensaje para cada error de sincronización cada vez que se produce, enviaremos un resumen diario de todos los errores que el servicio back-end haya devuelto. De este modo, los clientes pueden procesar estos errores de una manera más eficaz y reduce el número de mensajes de error duplicados.

Eliminación de una instancia de servidor o servicio

Nota:

Para los pasos de eliminación, es necesaria una licencia de Microsoft Entra ID premium.

En algunos casos, es posible que desee dejar de supervisar un servidor. Esto es lo que necesita saber para eliminar un servidor del servicio Microsoft Entra Connect Health.

Cuando elimine un servidor, tenga en cuenta lo siguiente:

  • Esta acción detiene cualquier recopilación de datos de ese servidor. Este servidor se quitará del servicio de supervisión. Después de esta acción, no podrá ver nuevas alertas ni datos de análisis de uso o supervisión de este servidor.
  • Esta acción no desinstala el agente de mantenimiento del servidor. Si no ha desinstalado el agente de mantenimiento antes de realizar este paso, es posible que vea eventos de error en el servidor relacionados con el agente de mantenimiento.
  • Esta acción no elimina los datos que ya se recopilaron desde este servidor. Esos datos se eliminan de acuerdo con la directiva de retención de datos de Azure.
  • Tras realizar esta acción, si desea empezar la supervisión del mismo servidor de nuevo, desinstale el agente de estado y vuelva a instalarlo en este servidor.

Eliminar un servidor del servicio Microsoft Entra Connect Health

Nota:

Para los pasos de eliminación, es necesaria una licencia de Microsoft Entra ID premium.

Microsoft Entra Connect Health para servicios de federación de Active Directory (AD FS) y Microsoft Entra Connect (Sync):

  1. Seleccione el nombre del servidor que se va a quitar para abrir la hoja Servidor en la hoja Lista de servidores.

  2. En la hoja Servidor, en la barra de acciones, haga clic en Eliminar.

    Screenshot of Microsoft Entra Connect Health delete server. Only keep servers that are active.

  3. Confirme el nombre del servidor; para ello, escríbalo en el cuadro de confirmación.

  4. Haga clic en Eliminar.

Microsoft Entra Connect Health para servicios de dominio de Microsoft Entra:

  1. Abra el panel de controladores de dominio.
  2. Seleccione el controlador de dominio que va a quitar.
  3. En la barra de acciones, haga clic en Eliminar selección.
  4. Confirme la acción para eliminar el servidor.
  5. Haga clic en Eliminar.

Eliminar una instancia de servicio del servicio Microsoft Entra Connect Health

En algunos casos, es posible que desee quitar una instancia de servicio. Esto es lo que necesita saber para eliminar una instancia de servicio del servicio Microsoft Entra Connect Health.

Cuando elimine una instancia de servicio, tenga en cuenta lo siguiente:

  • Esta acción quitará la instancia de servicio actual del servicio de supervisión.
  • Esta acción no desinstalará ni quitará el agente de mantenimiento de ninguno de los servidores que se supervisaron como parte de esta instancia de servicio. Si no ha desinstalado el agente de mantenimiento antes de realizar este paso, es posible que vea eventos de error en los servidores relacionados con el agente de mantenimiento.
  • Todos los datos de esta instancia de servicio se eliminarán según lo estipulado en la directiva de retención de datos de Azure.
  • Tras realizar esta acción, si desea empezar a supervisar el servicio, desinstale el agente de estado y vuelva a instalarlo en todos los servidores. Tras realizar esta acción, si desea empezar la supervisión del mismo servidor de nuevo, desinstale el agente de estado y regístrelo en ese servidor.

Para eliminar una instancia de servicio del servicio Microsoft Entra Connect Health

  1. Seleccione el identificador del servicio (nombre de la granja) que desea quitar para abrir la hoja Servicio en la hoja Lista de Servicios.

  2. En la hoja Servicio, en la barra de acciones, haga clic en Eliminar.

    Screenshot of Microsoft Entra Connect Health delete service. Remove unwanted services.

  3. Confirme el nombre del servicio. Para ello, escríbalo en el cuadro de confirmación (por ejemplo: sts.contoso.com).

  4. Haga clic en Eliminar.

Administración de accesos con el control de acceso basado en roles

El control de acceso basado en rol (RBAC de Azure) para Microsoft Entra Connect Health proporciona acceso a usuarios o grupos distintos a los administradores globales. Azure RBAC asigna roles a los usuarios y grupos previstos, y proporciona un mecanismo para limitar los administradores globales dentro del directorio.

Roles

Microsoft Entra Connect Health admite los siguientes roles integrados:

Rol Permisos
Propietario Los propietarios pueden administrar el acceso (por ejemplo, asignar roles a un usuario o grupo), ver toda la información (por ejemplo, ver las alertas) desde el portal y cambiar la configuración (por ejemplo, notificaciones de correo electrónico) dentro de Microsoft Entra Connect Health. De forma predeterminada, a los administradores globales de Microsoft Entra se les asigna este rol y esto no se puede cambiar.
Colaborador Los colaboradores pueden ver toda la información (por ejemplo, ver las alertas) desde el portal y cambiar la configuración (por ejemplo, notificaciones de correo electrónico) dentro de Microsoft Entra Connect Health.
Lector Los lectores pueden ver toda la información (por ejemplo, ver las alertas) desde el portal dentro de Microsoft Entra Connect Health.

Todos los demás roles (como "Administradores de acceso de usuario" o "Usuarios del laboratorio DevTest"), incluso si están disponibles en la experiencia del portal, no afectan al acceso dentro de Microsoft Entra Connect Health.

Ámbito de acceso

Microsoft Entra Connect Health admite la administración de acceso a dos niveles:

  • Todas las instancias de servicio: ruta de acceso recomendada en la mayoría de los casos. Controla el acceso a todas las instancias de servicio (por ejemplo, a una granja de servidores de AD FS) en todos los tipos de rol que se estén supervisando mediante Microsoft Entra Connect Health.
  • Instancia de servicio: en algunos casos, puede que necesite separar el acceso según los tipos de rol o por una instancia de servicio. En este caso, puede administrar el acceso en el nivel de instancia de servicio.

El permiso se concede si un usuario final tiene acceso al nivel de directorio o de instancia de servicio.

Cómo permitir el acceso a los usuarios o grupos a Microsoft Entra Connect Health

Se muestra cómo hacerlo en los pasos siguientes.

Paso 1: Seleccionar el ámbito de acceso adecuado

Para permitir a un usuario acceder al nivel de todas las instancias de servicio dentro de Microsoft Entra Connect Health, abra la hoja principal en Microsoft Entra Connect Health.

Paso 2: Agregar usuarios, grupos y asignar roles

  1. En la sección Configurar, haga clic en Usuarios.

    Screenshot of Microsoft Entra Connect Health resource sidebar. Add the users you need.

  2. Seleccione Agregar.

  3. En el panel Seleccionar rol, seleccione un rol (por ejemplo, Propietario).

    Screenshot of Microsoft Entra Connect Health and Azure RBAC configure menu.

  4. Escriba el nombre o identificador del usuario o grupo de destino. Puede seleccionar uno o más usuarios o grupos al mismo tiempo. Haga clic en Seleccionar.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC and new users highlighted.

  5. Seleccione Aceptar.

  6. Después de finalizar la asignación de roles, los usuarios y grupos aparecerán en la lista.

Ahora los usuarios y grupos de la lista tienen acceso, según sus roles asignados.

Nota:

Los administradores globales siempre tienen acceso total a todas las operaciones, pero las cuentas de administrador global no figurarán en la lista anterior.

  • La función Invitar usuarios no es compatible con Microsoft Entra Connect Health.

Paso 3: Compartir la ubicación de la hoja con usuarios o grupos

  1. Después de asignar permisos, un usuario puede acceder a Microsoft Entra Connect Health yendo aquí.

  2. Una vez en la hoja, el usuario puede anclar dicha hoja o diferentes partes de esta al panel. Solo tiene que hacer clic en el icono Anclar al panel.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC pin blade, with pin icon highlighted.

Eliminación de usuarios o grupos

Puede quitar un usuario o un grupo agregado a Microsoft Entra Connect Health y Azure RBAC. Simplemente haga clic con el botón derecho en el usuario o grupo y seleccione Quitar.

Screenshot of Microsoft Entra Connect Health and Azure RBAC with Remove highlighted.

Diagnóstico y solución de errores de sincronización de atributos duplicados

Información general

Microsoft Entra Connect Health da un paso más en el resalte de errores de sincronización y presenta la corrección de autoservicio. Soluciona los errores de sincronización de atributos duplicados y repara los objetos huérfanos desde Microsoft Entra ID. La característica de diagnóstico ofrece estas ventajas:

  • Proporciona un procedimiento de diagnóstico que reduce los errores de sincronización de atributos duplicados. Y aporta soluciones específicas.
  • Aplica una corrección para los escenarios dedicados desde Microsoft Entra ID para resolver el error en un solo paso.
  • No es necesaria ninguna actualización o configuración para habilitar la característica.

Problemas

Escenario común

Cuando se producen los errores de sincronización QuarantinedAttributeValueMustBeUnique y AttributeValueMustBeUnique, es habitual ver un conflicto de UserPrincipalName o Proxy Addresses en Microsoft Entra ID. Para resolver los errores de sincronización, puede actualizar el objeto de origen en conflicto desde el lado local. El error de sincronización se resolverá después de la siguiente sincronización. Por ejemplo, esta imagen indica que dos usuarios tienen un conflicto en UserPrincipalName. Ambos son Joe.J@contoso.com. Los objetos en conflicto se ponen en cuarentena en Microsoft Entra ID.

Diagram of the Diagnose sync error common scenarios. Most likely place to see errors.

Escenario del objeto huérfano

A veces puede darse el caso de que un usuario existente pierde el delimitador de origen. La eliminación del objeto de origen se ha producido en la instancia local de Active Directory. Pero el cambio de señal de eliminación nunca se sincronizó con Microsoft Entra ID. Esta pérdida se produce por motivos tales como problemas del motor de sincronización o la migración del dominio. Cuando se restaura o recrea el mismo objeto, lo lógico es que un usuario existente sea el que se sincronice desde el delimitador de origen.

Cuando un usuario existente es un objeto solo en la nube, también puede ver que el usuario en conflicto está sincronizado con Microsoft Entra ID. En la sincronización, el usuario no se puede hacer coincidir con el objeto existente. No hay ninguna forma directa de reasignar el delimitador de origen.

Por ejemplo, el objeto existente en Microsoft Entra ID conserva la licencia de Joe. Un objeto recién sincronizado con otro delimitador de origen se produce en un estado de atributo duplicado en Microsoft Entra ID. Los cambios de Joe en una instancia local de Active Directory no se aplicarán al usuario original de Joe (objeto existente) en Microsoft Entra ID.

Screenshot of the Diagnose sync error orphaned object scenario. Track down objects that are orphaned.

Pasos de diagnóstico y de solución de problemas en Connect Health

La característica de diagnóstico admite objetos de usuario con los siguientes atributos duplicados:

Nombre del atributo Tipos de error de sincronización
UserPrincipalName QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Importante

Para acceder a esta característica, se requieren los permisos de administrador global o de colaborador en Azure RBAC.

Siga los pasos de Azure Portal para limitar los datos de los errores de sincronización y proporcionar soluciones más específicas:

Digram of the Sync error diagnosis steps. Use these steps to reach a resolution.

En Azure Portal, dé algunos pasos para identificar los escenarios específicos que pueden corregirse:

  1. Consulte la columna Estado de diagnóstico. El estado muestra si hay una forma posible de corregir un error de sincronización directamente desde Microsoft Entra ID. En otras palabras, existe un flujo de solución de problemas que puede reducir el error y corregirlo potencialmente.

    Estado ¿Qué significa?
    No iniciado No ha visitado este proceso de diagnóstico. En función del resultado del diagnóstico, hay una posible forma de corregir el error de sincronización directamente desde el portal.
    Corrección manual necesaria El error no se ajusta a los criterios de las soluciones disponibles en el portal. Los tipos de objeto en conflicto no son usuarios, o bien ya ha realizado los pasos de diagnóstico y no hay una solución disponible en el portal. En el último caso, una de las posibles soluciones es una revisión desde el lado local.
    Sincronización pendiente Se aplicó la solución. El portal espera al siguiente ciclo de sincronización para borrar el error.

  2. Seleccione el botón Diagnosticar en los detalles del error. Responderá a varias preguntas e identificará los detalles del error de sincronización. Dichas respuestas ayudan a identificar un caso de objeto huérfano.

  3. Si aparece el botón Cerrar al final del diagnóstico, se debe a que no hay ninguna solución rápida disponible en el portal en función de sus respuestas. Consulte la solución que se muestra en el último paso. Las correcciones del entorno local siguen siendo las soluciones. Seleccione el botón Cerrar. El estado del error de sincronización actual cambia a Corrección manual necesaria. El estado permanece durante el ciclo de sincronización actual.

  4. Después de que se identifique el caso del objeto huérfano, puede solucionar los errores de sincronización de atributos duplicados directamente desde el portal. Para desencadenar el proceso, seleccione el botón Aplicar corrección. El estado del error de sincronización actual se actualiza a Sincronización pendiente.

  5. Después del siguiente ciclo de sincronización, el error debería quitarse de la lista.