Microsoft Entra Health を管理する
このセクションでは、Microsoft Entra Connect Health を使用して実行できるさまざまな操作について説明します。
電子メール通知を有効にする
ID インフラストラクチャが正常でないことをアラートが示した場合に、メール通知を送信するように Microsoft Entra Connect Health サービスを構成することができます。 この通知は、アラートが生成されたときと、解決されたときに送信されます。
Note
既定では、電子メール通知は有効です。
Microsoft Entra Connect Health の電子メール通知を有効にするには
- 電子メール通知を受信するサービスの [アラート] ブレードを開きます。
- 操作バーの [通知設定] をクリックします。
- 電子メール通知スイッチで、 [オン] を選択します。
- すべてのグローバル管理者が電子メール通知を受信するようにする場合は、チェック ボックスをオンにします。
- 他の電子メール アドレスで電子メール通知を受信する必要がある場合は、 [追加の電子メール受信者] ボックスで指定します。 このリストから電子メール アドレスを削除するには、対象のエントリを右クリックして [削除] を選択します。
- 変更を確定するには、 [保存] をクリックします。 保存した後にのみ変更は有効になります。
注意
バックエンド サービスで同期要求を処理する際に問題が発生した場合は、このサービスからご利用のテナントの管理者の連絡先の電子メール アドレスに、エラーの詳細が記載された通知電子メールが送信されます。 特定のケースではこれらのメッセージの量が非常に多くなるというフィードバックをお客様からいただいたので、これらのメッセージの送信方法を変更中です。
同期エラーが発生するたびに毎回メッセージを送信するのではなく、バックエンド サービスから返されたすべてのエラーのダイジェストを毎日送信することになります。 これにより、お客様はより効率的な方法でこれらのエラーを処理し、重複するエラー メッセージの数を減らすことができます。
サーバーまたはサービス インスタンスを削除する
Note
削除の手順を実行するには、Microsoft Entra ID Premium ライセンスが必要です。
特定のサーバーを監視対象から除外しなければならない場合があります。 Microsoft Entra Connect Health サービスからサーバーを削除するために知っておく必要があることを以下に示します。
サーバーを削除する際は次の点に注意してください。
- 削除したサーバーからはデータが一切収集されなくなります。 そのサーバーは監視サービスから除外されます。 削除されたサーバーについての新しいアラートや監視データ、使用状況分析データは表示できません。
- このアクションによって、Health エージェントがサーバーからアンインストールされることはありません。 Health エージェントをアンインストールせずにこの手順を実行した場合、そのサーバー上の Health エージェントに関連したエラーが表示されます。
- このサーバーから既に収集されたデータは削除されません。 収集済みのデータは、Azure のデータ リテンション期間ポリシーに従って削除されます。
- このアクションを実行した後、同じサーバーの監視を再開する場合、このサーバー上の Health エージェントをアンインストールしてから再インストールしてください。
Microsoft Entra Connect Health サービスからサーバーを削除する
Note
削除の手順を実行するには、Microsoft Entra ID Premium ライセンスが必要です。
Active Directory フェデレーション サービス (AD FS) および Microsoft Entra Connect (Sync) の Microsoft Entra Connect Health:
[サーバーの一覧] ブレードから、削除するサーバー名を選択して [サーバー] ブレードを開きます。
[サーバー] ブレードで、操作バーの [削除] をクリックします。
確認ボックスにサーバー名を入力して確定します。
[削除] をクリックします。
Microsoft Entra Domain Services の Microsoft Entra Connect Health:
- [ドメイン コントローラー] ダッシュボードを開きます。
- 削除するドメイン コントローラーを選択します。
- 操作バーの [選択した項目を削除] をクリックします。
- サーバーの削除アクションを確定します。
- [削除] をクリックします。
Microsoft Entra Connect Health サービスからサービス インスタンスを削除する
特定のサービス インスタンスを削除しなければならない場合があります。 ここでは、Microsoft Entra Connect Health サービスからサービス インスタンスを削除するときに知っておく必要があることを説明します。
サービス インスタンスを削除する際は次の点に注意してください。
- このアクションによって、現在のサービス インスタンスが監視サービスから削除されます。
- このサービス インスタンスの一部として監視されていたいずれのサーバーからも、Health エージェントがアンインストールされることや削除されることはありません。 Health エージェントをアンインストールせずにこの手順を実行した場合、そのサーバー上の Health エージェントに関連したエラーが表示されます。
- このサービス インスタンスからのデータはすべて、Azure のデータ リテンション期間ポリシーに従って削除されます。
- このアクションを実行した後、サービスの監視を再開する場合、すべてのサーバー上の Health エージェントをアンインストールしてから再インストールしてください。 このアクションを実行した後、同じサーバーの監視を再開する場合、そのサーバー上の Health エージェントをアンインストールしてから再インストールし、登録してください。
Microsoft Entra Connect Health サービスからサービス インスタンスを削除するには
[サービスの一覧] ブレードから、削除するサービスの ID (ファーム名) を選択して、 [サービス] ブレードを開きます。
[サービス] ブレードで、操作バーの [削除] をクリックします。
確認ボックスにサービス名 (例: sts.contoso.com) を入力して確定します。
[削除] をクリックします。
Azure ロールベースのアクセス制御を使用してアクセスを管理する
Microsoft Entra Connect Health の Azure ロールベースのアクセス制御 (Azure RBAC) は、全体管理者以外のユーザーおよびグループにアクセスを提供します。 Azure RBAC では、目的のユーザーおよびグループにロールを割り当て、ディレクトリ内のグローバル管理者を制限するメカニズムが用意されています。
ロール
Microsoft Entra Connect Health では、次の組み込みロールがサポートされています。
ロール | アクセス許可 |
---|---|
所有者 | 所有者は、"アクセスの管理" (例: ユーザーやグループへのロールの割り当て)、ポータルからの "すべての情報の表示" (例: アラートの表示)、Microsoft Entra Connect Health 内の "設定の変更" (例: 電子メール通知) を実行できます。 このロールは、規定で Microsoft Entra の全体管理者に割り当てられ、これを変更することはできません。 |
Contributor | 共同作成者は、ポータルからの "すべての情報の表示" (例: アラートの表示) と Microsoft Entra Connect Health 内での "設定の変更" (例: メール通知) を行うことができます。 |
閲覧者 | 閲覧者は、Microsoft Entra Connect Health 内でのポータルからの "すべての情報の表示" (例: アラートの表示) を行うことができます。 |
上記以外のロールはすべて ("ユーザー アクセス管理者" や "DevTest Labs ユーザー" など)、ポータル エクスペリエンスで利用できる場合でも、Microsoft Entra Connect Health 内のアクセスには影響しません。
アクセス スコープ
Microsoft Entra Connect Health では、2 つのレベルでアクセスの管理がサポートされます。
- すべてのサービス インスタンス: これはほとんどの場合の推奨パスです。 Microsoft Entra Connect Health によって監視されるすべてのロールの種類について、すべてのサービス インスタンス (AD FS ファームなど) へのアクセスを制御します。
- サービス インスタンス: 場合によっては、ロールの種類またはサービス インスタンスに基づいてアクセスを分離する必要があります。 この場合は、サービス インスタンス レベルでアクセスを管理できます。
アクセス許可は、エンド ユーザーがディレクトリ レベルまたはサービス インスタンス レベルのいずれかでアクセス権がある場合に与えられます。
ユーザーまたはグループに Microsoft Entra Connect Health へのアクセスを許可する
次の手順では、アクセスを許可する方法を説明します。
手順 1: 適切なアクセス スコープを選択する
Microsoft Entra Connect Health 内の "すべてのサービス インスタンス" レベルでユーザーにアクセスを許可するには、Microsoft Entra Connect Health でメイン ブレードを開きます。
手順 2: ユーザーおよびグループを追加し、ロールを割り当てる
[構成] セクションで、 [ユーザー] をクリックします。
[追加] を選択します。
[役割の選択] ウィンドウで、ロール (たとえば、 [所有者] ) を選択します。
対象となるユーザー/グループの名前または識別子を入力します。 1 つまたは複数のユーザー/グループを同時に選択できます。 [選択] をクリックします。
[OK] を選択します。
ロールの割り当てが完了した後に、ユーザーとグループが一覧に表示されます。
表示されているユーザーとグループは、割り当てられたロールに基づいてアクセスが許可されました。
注意
グローバル管理者は常にすべての操作にフル アクセスできますが、グローバル管理者のアカウントは上記のリストには表示されません。
- ユーザーの招待機能は、Microsoft Entra Connect Health ではサポートされません。
手順 3: ブレードの場所をユーザーまたはグループと共有する
アクセス許可が割り当てられた後、ユーザーはこちらに移動することで、Microsoft Entra Connect Health にアクセスできます。
ブレードで、ブレードやブレードのさまざまな部分をダッシュボードにピン留めできます。 [ダッシュボードにピン留めする] アイコンをクリックするだけです。
ユーザーまたはグループを削除する
Microsoft Entra Connect Health と Azure RBAC に追加されたユーザーまたはグループを削除できます。 ユーザーまたはグループを右クリックして [削除] を選択するだけです。
重複属性同期エラーを診断して修正する
概要
Microsoft Entra Connect Health では、同期エラーの解明をさらに一歩進めて、セルフサービスで修復することができます。 重複属性同期エラーのトラブルシューティングを行い、Microsoft Entra ID から孤立したオブジェクトを修正します。 診断機能には次のような利点があります。
- 重複属性同期エラーを絞り込む診断手順を提供します。 そして、具体的な修正方法を提供します。
- Microsoft Entra ID から専用のシナリオに修正を適用して、1 ステップでエラーを解決します。
- この機能を有効にするために、アップグレードや構成の必要がない。
問題が発生した場合
一般的なシナリオ
QuarantinedAttributeValueMustBeUnique および AttributeValueMustBeUnique 同期エラーが発生した場合、一般的には、UserPrincipalName またはプロキシ アドレスの競合を Microsoft Entra ID で確認します。 オンプレミス側から競合するソース オブジェクトを更新することで、同期エラーを解決できる可能性があります。 同期エラーは、次の同期の後に解決されます。たとえば、次の図は 2 人のユーザーの UserPrincipalName が競合していることを示しています。 どちらも Joe.J@contoso.com です。 競合するオブジェクトは、Microsoft Entra ID で検査されます。
孤立したオブジェクトのシナリオ
既存のユーザーのソース アンカーが失われていることに気付く場合があります。 オンプレミスの Active Directory で、ソース オブジェクトの削除が発生しました。 しかし、削除信号の変更が Microsoft Entra ID に同期されませんでした。 このような喪失は、同期エンジンの問題やドメインの移行などの理由で発生します。 同じオブジェクトが復元されたり再作成されたりするとき、論理的には、既存のユーザーがソース アンカーから同期するユーザーである必要があります。
既存のユーザーがクラウドのみのオブジェクトである場合、競合しているユーザーが Microsoft Entra ID に同期されることもあります。 ユーザーを既存のオブジェクトに同期して一致させることはできません。 ソース アンカーを再マップする直接的な方法はありません。
たとえば、Microsoft Entra ID の既存のオブジェクトが、Joe のライセンスを保持しているものとします。 異なるソース アンカーのオブジェクトが新しく同期されると、Microsoft Entra ID 内で重複属性状態が発生します。 オンプレミスの Active Directory での Joe の変更は、Microsoft Entra ID での Joe の元のユーザー (既存のオブジェクト) には適用されません。
Connect Health における診断とトラブルシューティングの手順
診断機能では、次のような重複属性を持つユーザー オブジェクトがサポートされています。
属性名 | 同期エラーの種類 |
---|---|
UserPrincipalName | QuarantinedAttributeValueMustBeUnique または AttributeValueMustBeUnique |
ProxyAddresses | QuarantinedAttributeValueMustBeUnique または AttributeValueMustBeUnique |
SipProxyAddress | AttributeValueMustBeUnique |
OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
重要
この機能にアクセスするには、全体管理者のアクセス許可、または Azure RBAC の共同作成者のアクセス許可が必要です。
同期エラーの詳細を絞り込み、さらに具体的な解決策を表示するには、Azure portal から次の手順のようにします。
Azure portal から次の手順を実行して、修正可能な固有のシナリオを特定します。
[Diagnose status](診断の状態) 列を確認します。 状態では、Microsoft Entra ID から直接同期エラーを修正する方法があるかどうかが示されます。 つまり、エラー ケースを絞り込んで修正できる可能性があるトラブルシューティング フローが存在します。
状態 これはどういうことですか? 未開始 この診断プロセスをまだ使用していません。 診断結果に応じて、ポータルから直接同期エラーを修正する潜在的な方法があります。 手動修正が必要 エラーが、ポータルから使用可能な修正の条件に適合しません。 競合するオブジェクトの種類がユーザーではないか、または既に診断手順を完了しポータルから使用可能な修正の解決策がありません。 後者の場合、オンプレミス側からの修正は依然として有効な解決策の 1 つです。 同期保留中 修正が適用されました。 ポータルは、次の同期サイクルでエラーが解消されるのを待機しています。 エラーの詳細の下にある [診断] ボタンを選択します。 いくつかの質問に答えて、同期エラーの詳細を明らかにします。 質問に回答すると、孤立オブジェクトのケースの特定に役立ちます。
診断の最後に [閉じる] ボタンが表示される場合は、回答に基づいてポータルから使用可能な簡易的な修正はありません。 最後の手順に示したソリューションを参照してください。 オンプレミスからの修正はまだ有効です。 [閉じる] ボタンを選択します。 現在の同期エラーの状態が、 [手動修正が必要] に切り替わります。 現在の同期サイクルの間、状態は変わりません。
孤立オブジェクトを識別した後は、重複属性同期エラーをポータルから直接修正できます。 プロセスを開始するには、 [修正の適用] ボタンを選択します。 現在の同期エラーの状態が更新され、 [同期を保留にしています] になります。
次の同期サイクルの後で、エラーが一覧から削除されています。