Zarządzanie programem Microsoft Entra Health

  • 7 min

W tej sekcji opisano różne operacje, które można wykonać przy użyciu usługi Microsoft Entra Połączenie Health.

Włączanie powiadomień e-mail

Usługę Microsoft Entra Połączenie Health można skonfigurować tak, aby wysyłała powiadomienia e-mail, gdy alerty wskazują, że infrastruktura tożsamości nie jest w dobrej kondycji. Dzieje się tak po wygenerowaniu alertu i rozwiązaniu problemu.

Screenshot of Microsoft Entra Connect Health email notification settings. Enter your admin's email.

Uwaga

Powiadomienia e-mail są domyślnie włączone.

Aby włączyć powiadomienia e-mail usługi Microsoft Entra Połączenie Health

  1. Otwórz blok Alerty dla usługi, dla której chcesz otrzymywać powiadomienia e-mail.
  2. Na pasku akcji kliknij pozycję Powiadomienie Ustawienia.
  3. Na przełączniku powiadomień e-mail wybierz pozycję WŁĄCZONE.
  4. Zaznacz pole wyboru, jeśli chcesz, aby wszyscy administratorzy globalni otrzymywali powiadomienia e-mail.
  5. Jeśli chcesz otrzymywać powiadomienia e-mail na innych adresach e-mail, określ je w polu Dodatkowi adresaci e-mail. Aby usunąć adres e-mail z tej listy, kliknij prawym przyciskiem myszy wpis i wybierz polecenie Usuń.
  6. Aby sfinalizować zmiany, kliknij przycisk Zapisz. Zmiany obowiązują dopiero po zapisaniu.

Uwaga

Jeśli występują problemy z przetwarzaniem żądań synchronizacji w naszej usłudze zaplecza, ta usługa wysyła wiadomość e-mail z powiadomieniem ze szczegółami błędu na adres e-mail kontaktu administracyjnego twojej dzierżawy. Słyszeliśmy opinie klientów, że w niektórych przypadkach ilość tych komunikatów jest zbyt duża, więc zmieniamy sposób wysyłania tych wiadomości.

Zamiast wysyłać komunikat dla każdego błędu synchronizacji za każdym razem, gdy wystąpi, wyślemy dzienny skrót wszystkich błędów zwróconych przez usługę zaplecza. Dzięki temu klienci mogą przetwarzać te błędy w bardziej wydajny sposób i zmniejsza liczbę zduplikowanych komunikatów o błędach.

Usuwanie serwera lub wystąpienia usługi

Uwaga

Aby wykonać kroki usuwania, wymagana jest licencja Premium identyfikatora Entra firmy Microsoft.

W niektórych przypadkach może być konieczne usunięcie monitorowanego serwera. Oto, co musisz wiedzieć, aby usunąć serwer z usługi Microsoft Entra Połączenie Health.

Podczas usuwania serwera należy pamiętać o następujących kwestiach:

  • Ta akcja uniemożliwia zbieranie dalszych danych z tego serwera. Ten serwer jest usuwany z usługi monitorowania. Po wykonaniu tej akcji nie można wyświetlić nowych alertów, monitorowania ani danych analizy użycia dla tego serwera.
  • Ta akcja nie powoduje odinstalowania agenta kondycji z serwera. Jeśli agent kondycji nie został odinstalowany przed wykonaniem tego kroku, mogą zostać wyświetlone błędy związane z agentem kondycji na serwerze.
  • Ta akcja nie powoduje usunięcia danych już zebranych z tego serwera. Te dane są usuwane zgodnie z zasadami przechowywania danych platformy Azure.
  • Po wykonaniu tej akcji, jeśli chcesz ponownie rozpocząć monitorowanie tego samego serwera, należy odinstalować i ponownie zainstalować agenta kondycji na tym serwerze.

Usuwanie serwera z usługi Microsoft Entra Połączenie Health

Uwaga

Aby wykonać kroki usuwania, wymagana jest licencja Premium identyfikatora Entra firmy Microsoft.

Microsoft Entra Połączenie Health for Active Directory Federation Services (AD FS) i Microsoft Entra Połączenie (sync):

  1. Otwórz blok Serwer w bloku Lista serwerów, wybierając nazwę serwera do usunięcia.

  2. W bloku Serwer na pasku akcji kliknij pozycję Usuń.

    Screenshot of Microsoft Entra Connect Health delete server. Only keep servers that are active.

  3. Potwierdź, wpisując nazwę serwera w polu potwierdzenia.

  4. Kliknij Usuń.

Microsoft Entra Połączenie Health for Microsoft Entra Domain Services:

  1. Otwórz pulpit nawigacyjny Kontrolery domeny.
  2. Wybierz kontroler domeny, który ma zostać usunięty.
  3. Na pasku akcji kliknij pozycję Usuń wybrane.
  4. Potwierdź akcję usunięcia serwera.
  5. Kliknij Usuń.

Usuwanie wystąpienia usługi z usługi Microsoft Entra Połączenie Health

W niektórych przypadkach możesz usunąć wystąpienie usługi. Oto, co musisz wiedzieć, aby usunąć wystąpienie usługi z usługi Microsoft Entra Połączenie Health.

Podczas usuwania wystąpienia usługi należy pamiętać o następujących kwestiach:

  • Ta akcja powoduje usunięcie bieżącego wystąpienia usługi z usługi monitorowania.
  • Ta akcja nie powoduje odinstalowania ani usunięcia agenta kondycji z żadnego z serwerów, które były monitorowane w ramach tego wystąpienia usługi. Jeśli agent kondycji nie został odinstalowany przed wykonaniem tego kroku, mogą zostać wyświetlone błędy związane z agentem kondycji na serwerach.
  • Wszystkie dane z tego wystąpienia usługi są usuwane zgodnie z zasadami przechowywania danych platformy Azure.
  • Po wykonaniu tej akcji, jeśli chcesz rozpocząć monitorowanie usługi, odinstaluj i ponownie zainstaluj agenta kondycji na wszystkich serwerach. Po wykonaniu tej akcji, jeśli chcesz ponownie rozpocząć monitorowanie tego samego serwera, odinstaluj, ponownie zainstaluj i zarejestruj agenta kondycji na tym serwerze.

Aby usunąć wystąpienie usługi z usługi Microsoft Entra Połączenie Health

  1. Otwórz blok Usługa w bloku Lista usług, wybierając identyfikator usługi (nazwę farmy), który chcesz usunąć.

  2. W bloku Usługa na pasku akcji kliknij pozycję Usuń.

    Screenshot of Microsoft Entra Connect Health delete service. Remove unwanted services.

  3. Potwierdź, wpisując nazwę usługi w polu potwierdzenia (na przykład: sts.contoso.com).

  4. Kliknij Usuń.

Zarządzanie dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure dla usługi Microsoft Entra Połączenie Health zapewnia dostęp do użytkowników i grup innych niż administratorzy globalni. Kontrola dostępu oparta na rolach platformy Azure przypisuje role do zamierzonych użytkowników i grup oraz udostępnia mechanizm ograniczania administratorów globalnych w katalogu.

Role

Usługa Microsoft Entra Połączenie Health obsługuje następujące wbudowane role:

Rola Uprawnienia
Właściciel Właściciele mogą zarządzać dostępem (na przykład przypisywać rolę do użytkownika lub grupy), wyświetlać wszystkie informacje (na przykład wyświetlać alerty) z portalu i zmieniać ustawienia (na przykład powiadomienia e-mail) w usłudze Microsoft Entra Połączenie Health. Domyślnie administratorzy globalni firmy Microsoft Entra mają przypisaną tę rolę i nie można jej zmienić.
Współautor Współautorzy mogą wyświetlać wszystkie informacje (na przykład wyświetlać alerty) z portalu i zmieniać ustawienia (na przykład powiadomienia e-mail) w usłudze Microsoft Entra Połączenie Health.
Czytelnik Czytelnicy mogą wyświetlać wszystkie informacje (na przykład wyświetlać alerty) z portalu w witrynie Microsoft Entra Połączenie Health.

Wszystkie inne role (takie jak user access Administracja istrators lub DevTest Labs Users) nie mają wpływu na dostęp w usłudze Microsoft Entra Połączenie Health, nawet jeśli role są dostępne w środowisku portalu.

Zakres dostępu

Usługa Microsoft Entra Połączenie Health obsługuje zarządzanie dostępem na dwóch poziomach:

  • Wszystkie wystąpienia usługi: jest to zalecana ścieżka w większości przypadków. Kontroluje dostęp do wszystkich wystąpień usług (na przykład farmy usług AD FS) we wszystkich typach ról monitorowanych przez firmę Microsoft Entra Połączenie Health.
  • Wystąpienie usługi: w niektórych przypadkach może być konieczne rozdzielenie dostępu na podstawie typów ról lub wystąpienia usługi. W takim przypadku można zarządzać dostępem na poziomie wystąpienia usługi.

Uprawnienie jest przyznawane, jeśli użytkownik końcowy ma dostęp na poziomie katalogu lub wystąpienia usługi.

Zezwalaj użytkownikom lub grupom na dostęp do usługi Microsoft Entra Połączenie Health

W poniższych krokach pokazano, jak zezwolić na dostęp.

Krok 1. Wybieranie odpowiedniego zakresu dostępu

Aby zezwolić użytkownikowi na dostęp na poziomie wszystkich wystąpień usług w usłudze Microsoft Entra Połączenie Health, otwórz główny blok w usłudze Microsoft Entra Połączenie Health.

Krok 2. Dodawanie użytkowników i grup oraz przypisywanie ról

  1. W sekcji Konfigurowanie kliknij pozycję Użytkownicy.

    Screenshot of Microsoft Entra Connect Health resource sidebar. Add the users you need.

  2. Wybierz Dodaj.

  3. W okienku Wybierz rolę wybierz rolę (na przykład Właściciel).

    Screenshot of Microsoft Entra Connect Health and Azure RBAC configure menu.

  4. Wpisz nazwę lub identyfikator docelowego użytkownika lub grupy. Jednocześnie można wybrać co najmniej jednego użytkownika lub grupy. Kliknij opcję Wybierz.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC and new users highlighted.

  5. Wybierz przycisk OK.

  6. Po zakończeniu przypisywania roli użytkownicy i grupy pojawią się na liście.

Teraz wymienieni użytkownicy i grupy mają dostęp zgodnie z przypisanymi rolami.

Uwaga

Administratorzy globalni zawsze mają pełny dostęp do wszystkich operacji, ale konta administratorów globalnych nie znajdują się na powyższej liście.

  • Funkcja Zaproś użytkowników nie jest obsługiwana w usłudze Microsoft Entra Połączenie Health.

Krok 3. Udostępnianie lokalizacji bloku użytkownikom lub grupom

  1. Po przypisaniu uprawnień użytkownik może uzyskać dostęp do usługi Microsoft Entra Połączenie Health, przechodząc tutaj.

  2. W bloku użytkownik może przypiąć blok lub różne jego części do pulpitu nawigacyjnego. Po prostu kliknij ikonę Przypnij do pulpitu nawigacyjnego .

    Screenshot of Microsoft Entra Connect Health and Azure RBAC pin blade, with pin icon highlighted.

Usuwanie użytkowników lub grup

Możesz usunąć użytkownika lub grupę dodaną do usługi Microsoft Entra Połączenie Health i RBAC platformy Azure. Po prostu kliknij prawym przyciskiem myszy użytkownika lub grupę, a następnie wybierz polecenie Usuń.

Screenshot of Microsoft Entra Connect Health and Azure RBAC with Remove highlighted.

Diagnozowanie i naprawianie błędów synchronizacji zduplikowanego atrybutu

Omówienie

Wykonanie jednego kroku w celu wyróżnienia błędów synchronizacji, firma Microsoft Entra Połączenie Health wprowadza samoobsługowe korygowanie. Rozwiązuje ona problemy z błędami synchronizacji zduplikowanych atrybutów i naprawia obiekty oddzielone od identyfikatora Entra firmy Microsoft. Funkcja diagnostyki ma następujące korzyści:

  • Zawiera on procedurę diagnostyczną, która zawęża zduplikowane błędy synchronizacji atrybutów. I daje konkretne poprawki.
  • Stosuje poprawkę dla dedykowanych scenariuszy z witryny Microsoft Entra ID w celu rozwiązania błędu w jednym kroku.
  • Do włączenia tej funkcji nie jest wymagana żadna aktualizacja ani konfiguracja.

Problemy

Typowy scenariusz

W przypadku wystąpienia błędów synchronizacji QuarantinedAttributeValueMustBeUnique i AttributeValueMustBeUnique często występuje konflikt userPrincipalName lub proxy Addresses w identyfikatorze Entra firmy Microsoft. Błędy synchronizacji można rozwiązać, aktualizując obiekt źródłowy powodujący konflikt ze strony lokalnej. Błąd synchronizacji zostanie rozwiązany po następnej synchronizacji. Na przykład ten obraz wskazuje, że dwóch użytkowników ma konflikt z nazwą UserPrincipalName. Oba są Joe.J@contoso.com. Obiekty powodujące konflikt są poddane kwarantannie w identyfikatorze Entra firmy Microsoft.

Diagram of the Diagnose sync error common scenarios. Most likely place to see errors.

Scenariusz oddzielonego obiektu

Czasami może się okazać, że istniejący użytkownik utraci kotwicę źródłową. Usunięcie obiektu źródłowego miało miejsce w lokalna usługa Active Directory. Jednak zmiana sygnału usuwania nigdy nie została zsynchronizowana z identyfikatorem Entra firmy Microsoft. Ta utrata występuje z powodów, takich jak problemy z aparatem synchronizacji lub migracja domeny. Gdy ten sam obiekt zostanie przywrócony lub utworzony ponownie, logicznie istniejący użytkownik powinien być użytkownikiem do synchronizacji z zakotwiczenia źródła.

Gdy istniejący użytkownik jest obiektem tylko w chmurze, możesz również zobaczyć powodujące konflikty użytkownika zsynchronizowanego z identyfikatorem Entra firmy Microsoft. Nie można dopasować użytkownika do istniejącego obiektu. Nie ma bezpośredniego sposobu ponownego mapowania kotwicy źródłowej.

Na przykład istniejący obiekt w identyfikatorze Entra firmy Microsoft zachowuje licencję Joe. Nowo zsynchronizowany obiekt z inną kotwicą źródłową występuje w stanie zduplikowanego atrybutu w identyfikatorze Entra firmy Microsoft. Zmiany dla Joe w lokalna usługa Active Directory nie zostaną zastosowane do oryginalnego użytkownika Joe (istniejącego obiektu) w identyfikatorze Entra firmy Microsoft.

Screenshot of the Diagnose sync error orphaned object scenario. Track down objects that are orphaned.

Kroki diagnostyki i rozwiązywania problemów w usłudze Połączenie Health

Funkcja diagnozowania obsługuje obiekty użytkownika z następującymi zduplikowanymi atrybutami:

Nazwa atrybutu Typy błędów synchronizacji
UserPrincipalName QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Ważne

Aby uzyskać dostęp do tej funkcji, wymagane jest uprawnienie Globalne Administracja lub Współautor z kontroli dostępu opartej na rolach platformy Azure.

Wykonaj kroki z witryny Azure Portal, aby zawęzić szczegóły błędu synchronizacji i udostępnić bardziej szczegółowe rozwiązania:

Digram of the Sync error diagnosis steps. Use these steps to reach a resolution.

W witrynie Azure Portal wykonaj kilka kroków, aby zidentyfikować konkretne scenariusze możliwe do naprawienia:

  1. Sprawdź kolumnę Diagnozowanie stanu . Stan pokazuje, czy istnieje możliwy sposób naprawienia błędu synchronizacji bezpośrednio z identyfikatora Entra firmy Microsoft. Innymi słowy, istnieje przepływ rozwiązywania problemów, który może zawęzić przypadek błędu i potencjalnie go naprawić.

    Stan Co to znaczy?
    Nie rozpoczęto Nie odwiedziłeś tego procesu diagnostyki. W zależności od wyniku diagnostyki istnieje potencjalny sposób usunięcia błędu synchronizacji bezpośrednio z portalu.
    Wymagana poprawka ręczna Błąd nie pasuje do kryteriów dostępnych poprawek z portalu. Typy obiektów powodujące konflikt nie są użytkownikami lub zostały już wykonane kroki diagnostyczne, a rozwiązanie poprawki nie było dostępne w portalu. W tym ostatnim przypadku poprawka ze strony lokalnej jest nadal jednym z rozwiązań.
    Oczekiwanie na synchronizację Zastosowano poprawkę. Portal czeka na następny cykl synchronizacji, aby wyczyścić błąd.

  2. Wybierz przycisk Diagnozuj w obszarze szczegółów błędu. Odpowiesz na kilka pytań i zidentyfikujesz szczegóły błędu synchronizacji. Odpowiedzi na pytania pomagają zidentyfikować oddzielony przypadek obiektu.

  3. Jeśli na końcu diagnostyki pojawi się przycisk Zamknij, nie ma dostępnej szybkiej poprawki w portalu na podstawie odpowiedzi. Zapoznaj się z rozwiązaniem pokazanym w ostatnim kroku. Poprawki ze środowiska lokalnego są nadal rozwiązaniami. Wybierz przycisk Zamknij. Stan bieżącego błędu synchronizacji powoduje przełączenie na wymaganą ręczną poprawkę. Stan pozostaje w trakcie bieżącego cyklu synchronizacji.

  4. Po zidentyfikowaniu oddzielonego przypadku obiektu można naprawić zduplikowane błędy synchronizacji atrybutów bezpośrednio z portalu. Aby wyzwolić proces, wybierz przycisk Zastosuj poprawkę. Stan bieżącego błędu synchronizacji zostanie zaktualizowany do oczekujących synchronizacji.

  5. Po następnym cyklu synchronizacji błąd powinien zostać usunięty z listy.