Udostępnij za pośrednictwem

Praca z raportowaniem hybrydowym w programie Identity Manager

  • Artykuł

W tym artykule omówiono sposób łączenia danych lokalnych i chmurowych w raporty hybrydowe w firmie Microsoft Entra oraz jak zarządzać tymi raportami i wyświetlać je.

Uwaga

Firma Microsoft ma nowsze zalecane podejście do raportowania hybrydowego na platformie Azure przy użyciu usług Azure Arc i Azure Monitor. Aby uzyskać więcej informacji, zobacz Raportowanie programu Microsoft Identity Manager 2016 za pomocą usługi Azure Monitor.

Dostępne raporty hybrydowe

Trzy raporty programu Microsoft Identity Manager dostępne w identyfikatorze Entra firmy Microsoft są następujące:

  • Działanie resetowania hasła: wyświetla każde wystąpienie, gdy użytkownik wykonał resetowanie hasła przy użyciu samoobsługowego resetowania hasła (SSPR) i udostępnia bramy lub metody używane do uwierzytelniania.

  • Rejestracja resetowania hasła: za każdym razem, gdy użytkownik zarejestruje się na potrzeby samoobsługowego resetowania hasła i metody używane do uwierzytelniania. Przykłady metod mogą być numerem telefonu komórkowego lub pytaniami i odpowiedziami.

    Uwaga

    W przypadku raportów rejestracji resetowania hasła nie ma różnic między bramą sms a bramą usługi MFA. Oba są uważane za metody telefonów komórkowych.

  • Działanie grup samoobsługi: wyświetla każdą próbę dodania lub usunięcia przez kogoś z grupy i tworzenia grupy.

    Raportowanie hybrydowe platformy Azure — obraz aktywności resetowania haseł

Uwaga

  • Raporty przedstawiają obecnie dane dla maksymalnie jednego miesiąca aktywności.

Wymagania wstępne

  • Usługa Identity Manager 2016 SP1 Identity Manager, zalecana kompilacja 4.4.1749.0 .

  • Dzierżawa microsoft Entra ID P1 lub P2 z licencjonowanym administratorem w katalogu.

  • Wychodząca łączność internetowa z serwera programu Identity Manager na platformę Azure.

Wymagania

Wymagania dotyczące korzystania z raportowania hybrydowego programu Identity Manager są wymienione w poniższej tabeli:

Wymaganie opis
Microsoft Entra ID P1 lub P2 Raportowanie hybrydowe to funkcja Microsoft Entra ID P1 lub P2 i wymaga identyfikatora Entra ID P1 lub P2 firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do usługi Microsoft Entra ID P1 lub P2.
Uzyskaj bezpłatną 30-dniową wersję próbną usługi Microsoft Entra ID P1 lub P2.
Musisz być administratorem globalnym swojego identyfikatora Entra firmy Microsoft Domyślnie tylko administratorzy globalni mogą instalować i konfigurować agentów, aby rozpocząć pracę, uzyskiwać dostęp do portalu i wykonywać wszelkie operacje na platformie Azure.
Ważne: konto używane podczas instalowania agentów musi być kontem służbowym. Nie może być kontem Microsoft. Aby uzyskać więcej informacji, zobacz Tworzenie konta na platformie Azure jako organizacja.
Agent hybrydowy programu Identity Manager jest instalowany na każdym docelowym serwerze usługi programu Identity Manager Aby odbierać dane i zapewniać możliwości monitorowania i analizy, raportowanie hybrydowe wymaga zainstalowania i skonfigurowania agentów na serwerach docelowych.
Łączność wychodząca z punktami końcowymi usług Azure Podczas instalacji i środowiska uruchomieniowego agent wymaga łączności z punktami końcowymi usługi platformy Azure. Jeśli łączność wychodząca jest blokowana przez zapory, upewnij się, że następujące punkty końcowe są dodawane do listy dozwolonych:
  • *.blob.core.windows.net
  • *.servicebus.windows.net — port: 5671
  • *.adhybridhealth.azure.com/
  • https://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.net
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
Łączność wychodząca oparta na adresach IP W przypadku filtrowania adresów IP na podstawie zapór zapoznaj się z zakresami adresów IP platformy Azure.
Inspekcja protokołu SSL dla ruchu wychodzącego jest filtrowana lub wyłączona Krok rejestracji agenta lub operacje przekazywania danych mogą zakończyć się niepowodzeniem, jeśli w warstwie sieciowej występuje inspekcja protokołu SSL lub zakończenie ruchu wychodzącego.
Porty zapory na serwerze z uruchomionym agentem Aby komunikować się z punktami końcowymi usługi platformy Azure, agent wymaga otwarcia następujących portów zapory:
  • Port TCP 443
  • Port TCP 5671
Zezwalaj na niektóre witryny sieci Web, jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer Jeśli włączono rozszerzone zabezpieczenia programu Internet Explorer, na serwerze z zainstalowanym agentem muszą być dozwolone następujące witryny sieci Web:

Instalowanie agenta raportowania programu Identity Manager w usłudze Microsoft Entra ID

Po zainstalowaniu agenta raportowania dane z działania programu Identity Manager są eksportowane z programu Identity Manager do dziennika zdarzeń systemu Windows. Agent raportowania programu Identity Manager przetwarza zdarzenia, a następnie przekazuje je do firmy Microsoft Entra. W usłudze Microsoft Entra zdarzenia są analizowane, odszyfrowywane i filtrowane dla wymaganych raportów.

  1. Przed ponowną instalacją należy odinstalować poprzedniego agenta raportowania hybrydowego. Aby odinstalować raporty hybrydowe, odinstaluj agenta MIMreportingAgent.msi.

  2. Pobierz agenta raportowania programu Identity Manager, a następnie wykonaj następujące czynności:

    a. Zaloguj się do portalu zarządzania firmy Microsoft Entra, a następnie wybierz pozycję Active Directory.

    b. Kliknij dwukrotnie katalog, dla którego jesteś administratorem globalnym i masz subskrypcję Microsoft Entra ID P1 lub P2.

    c. Wybierz pozycję Konfiguracja, a następnie pobierz agenta raportowania.

  3. Zainstaluj agenta raportowania, wykonując następujące czynności:

    a. Pobierz plik MIMHReportingAgentSetup.exe dla serwera usługi programu Identity Manager.

    b. Uruchom program MIMHReportingAgentSetup.exe.

    c. Uruchom instalatora agenta.

    d. Upewnij się, że usługa agenta raportowania programu Identity Manager jest uruchomiona.

    e. Uruchom ponownie usługę Identity Manager.

  4. Sprawdź, czy agent raportowania programu Identity Manager działa na platformie Azure.

    Dane raportu można utworzyć przy użyciu portalu samoobsługowego resetowania hasła programu Identity Manager w celu zresetowania hasła użytkownika. Upewnij się, że resetowanie hasła zostało ukończone pomyślnie, a następnie sprawdź, czy dane są wyświetlane w portalu zarządzania firmy Microsoft Entra.

Wyświetlanie raportów hybrydowych w witrynie Azure Portal

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora globalnego dla dzierżawy.

  2. Wybierz Microsoft Entra ID.

  3. Na liście dostępnych katalogów dla subskrypcji wybierz katalog dzierżawy.

  4. Wybierz pozycję Dzienniki inspekcji.

  5. Upewnij się, że na liście rozwijanej Kategoria wybrano usługę MIM.

Ważne

Wyświetlenie danych inspekcji programu Identity Manager w witrynie Azure Portal może zająć trochę czasu.

Zatrzymywanie tworzenia raportów hybrydowych

Jeśli chcesz zatrzymać przekazywanie danych inspekcji raportowania z programu Identity Manager do identyfikatora Entra firmy Microsoft, odinstaluj agenta raportowania hybrydowego. Użyj narzędzia Dodaj lub Usuń programy systemu Windows, aby odinstalować raportowanie hybrydowe programu Identity Manager.