Управление работоспособностью Microsoft Entra

  • 7 мин

В этом разделе описаны различные операции, которые можно выполнить с помощью Microsoft Entra Подключение Health.

Включение уведомлений по электронной почте

Вы можете настроить службу работоспособности Microsoft Entra Подключение health для отправки Уведомления по электронной почте, если оповещения указывают на то, что инфраструктура удостоверений не работает. Они будут отправляться при создании оповещения, а также если оно разрешено.

Screenshot of Microsoft Entra Connect Health email notification settings. Enter your admin's email.

Примечание.

По умолчанию отправка уведомлений по электронной почте включена.

Включение Уведомления по электронной почте работоспособности microsoft Entra Подключение

  1. Откройте колонку Оповещения службы, для которой нужно получать уведомления по почте.
  2. На панели действий щелкните Параметры уведомлений.
  3. Переместите переключатель "Уведомление по электронной почте" в положение Вкл.
  4. Установите флажок, если нужно, чтобы все глобальные администраторы получали уведомления по почте.
  5. Если требуется получать уведомления по почте на любой другой электронный адрес, укажите его в поле Дополнительные получатели письма. Чтобы удалить электронный адрес из этого списка, щелкните запись правой кнопкой мыши и выберите Удалить.
  6. Чтобы завершить изменения, щелкните Сохранить. Изменения вступят в силу только после сохранения.

Примечание.

При возникновении проблем с обработкой запросов на синхронизацию в серверной службе эта служба отправляет уведомление с подробными сведениями об ошибке на адрес электронной почты администратора вашего клиента. Мы слышали отзывы клиентов о том, что в некоторых случаях объем этих сообщений слишком велик, поэтому мы изменяем способ отправки этих сообщений.

Вместо отправки сообщения для каждой ошибки синхронизации каждый раз, когда она происходит, будет отправлен ежедневный дайджест всех ошибок, возвращенных серверной службой. Это позволяет клиентам более эффективно обрабатывать эти ошибки и сократить количество повторяющихся сообщений об ошибках.

Удаление экземпляра службы или сервера

Примечание.

Лицензия Microsoft Entra ID Premium необходима для действий по удалению.

В некоторых случаях может потребоваться удалить сервер из списка отслеживаемых серверов. Вот что необходимо знать, чтобы удалить сервер из службы работоспособности Microsoft Entra Подключение.

При удалении сервера учитывайте следующее:

  • При выполнении этого действия дальнейший сбор данных с этого сервера прекращается. Этот сервер удаляется из службы мониторинга. После выполнения этого действия вы не сможете просматривать новые оповещения, а также данные мониторинга и аналитики использования для этого сервера.
  • Это действие не удаляет агент работоспособности из сервера. Если вы не удаляли агент работоспособности перед выполнением этого шага, на сервере могут отображаться ошибки, связанные с агентом работоспособности.
  • При выполнении этого действия данные, предварительно собранные с этого сервера, не удаляются. Эти данные удаляются в соответствии с политикой хранения данных Azure.
  • Если после выполнения этого действия вам потребуется возобновить наблюдение за этим сервером, удалите и повторно установите на нем агент работоспособности.

Удаление сервера из службы работоспособности Microsoft Entra Подключение

Примечание.

Лицензия Microsoft Entra ID Premium необходима для действий по удалению.

Microsoft Entra Подключение Health for службы федерации Active Directory (AD FS) (AD FS) и Microsoft Entra Подключение (Sync):

  1. В колонке Список серверов откройте колонку Сервер, щелкнув имя сервера, который нужно удалить.

  2. В колонке Сервер на панели действий нажмите кнопку Удалить.

    Screenshot of Microsoft Entra Connect Health delete server. Only keep servers that are active.

  3. Подтвердите удаление. Для этого введите имя сервера в поле подтверждения.

  4. Нажмите Удалить.

Microsoft Entra Подключение Health for Microsoft Entra Domain Services:

  1. Откройте панель мониторинга контроллеров домена.
  2. Выберите контроллер домена, который нужно удалить.
  3. На панели действий нажмите кнопку Удалить выбранные.
  4. Подтвердите операцию удаления сервера.
  5. Нажмите Удалить.

Удаление экземпляра службы из Службы работоспособности Microsoft Entra Подключение

В некоторых случаях может потребоваться удалить экземпляр службы. Вот что необходимо знать, чтобы удалить экземпляр службы из службы Microsoft Entra Подключение Health.

При удалении экземпляра службы учитывайте следующее:

  • При выполнении этого действия текущий экземпляр службы удаляется из службы мониторинга.
  • При выполнении этого действия агент работоспособности не удаляется с какого-либо сервера, который отслеживался в рамках данного экземпляра службы. Если вы не удаляли агент работоспособности перед выполнением этого шага, на сервере могут отображаться ошибки, связанные с агентом работоспособности.
  • Все данные из этого экземпляра службы удаляются в соответствии с политикой хранения данных Azure.
  • Если после выполнения этого действия вам потребуется начать наблюдение за службой, удалите и повторно установите агент работоспособности на всех серверах. Если после выполнения этого действия вам потребуется возобновить наблюдение за этим сервером, удалите, повторно установите и зарегистрируйте на нем агент работоспособности.

Удаление экземпляра службы из службы Microsoft Entra Подключение Health

  1. В колонке Список служб откройте колонку Служба, выбрав идентификатор службы (имя фермы), которую нужно удалить.

  2. В колонке Служба на панели действий нажмите кнопку Удалить.

    Screenshot of Microsoft Entra Connect Health delete service. Remove unwanted services.

  3. Подтвердите удаление. Для этого введите имя сервера в поле подтверждения (например, sts.contoso.com).

  4. Нажмите Удалить.

Управление доступом с помощью контроля доступа на основе ролей

Управление доступом на основе ролей Azure (Azure RBAC) для Microsoft Entra Подключение Health обеспечивает доступ к пользователям и группам, кроме глобальных администраторов. Azure RBAC назначает роли предполагаемым пользователям и группам, а также предоставляет механизм для ограничения глобальных администраторов в каталоге.

Роли

Microsoft Entra Подключение Health поддерживает следующие встроенные роли:

Роль Разрешения
Ответственный Владельцы могут управлять доступом (например, назначать роль пользователю или группе), просматривать все сведения (например, просматривать оповещения) на портале и изменять параметры (например, Уведомления по электронной почте) в Microsoft Entra Подключение Health. По умолчанию глобальные администраторы Microsoft Entra назначают эту роль, и это невозможно изменить.
Участник Участники могут просматривать все сведения (например, просматривать оповещения) на портале и изменять параметры (например, Уведомления по электронной почте) в Microsoft Entra Подключение Health.
Читатель Читатели могут просматривать все сведения (например, просматривать оповещения) на портале в Microsoft Entra Подключение Health.

Все остальные роли (например, доступ пользователей Администратор istrators или DevTest Labs Users) не влияют на доступ в Microsoft Entra Подключение Health, даже если роли доступны на портале.

Область доступа

Microsoft Entra Подключение Health поддерживает управление доступом на двух уровнях:

  • Все экземпляры служб. Мы рекомендуем использовать этот вариант в большинстве случаев. Он управляет доступом ко всем экземплярам служб (например, ферме AD FS) во всех типах ролей, отслеживаемых Microsoft Entra Подключение Health.
  • Экземпляр служб. В некоторых случаях может потребоваться разграничить доступ по типам ролей или экземпляру службы. В этом случае доступом можно управлять на уровне экземпляра службы.

Разрешение предоставляется, если конечный пользователь имеет доступ к уровню каталога либо к уровню экземпляра службы.

Разрешить пользователям или группам доступ к Microsoft Entra Подключение Health

Ниже приведены действия по предоставлению доступа.

Шаг 1. Выбор соответствующего доступа область

Чтобы разрешить пользователю доступ на уровне всех экземпляров служб в Microsoft Entra Подключение Health, откройте главную колонку в Microsoft Entra Подключение Health.

Шаг 2. Добавление пользователей и групп и назначение ролей

  1. В разделе Настройка щелкните Пользователи.

    Screenshot of Microsoft Entra Connect Health resource sidebar. Add the users you need.

  2. Выберите Добавить.

  3. В области Выбор роли выберите роль (например, Владелец).

    Screenshot of Microsoft Entra Connect Health and Azure RBAC configure menu.

  4. Введите имя или идентификатор целевого пользователя или целевой группы. Одновременно можно выбрать сразу несколько пользователей или групп. Щелкните Выбрать.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC and new users highlighted.

  5. Нажмите ОК.

  6. После назначения ролей пользователи и группы отобразятся в списке.

Теперь указанные пользователи и группы имеют доступ в соответствии с назначенными им ролями.

Примечание.

Глобальные администраторы всегда имеют полный доступ ко всем операциям, однако их учетные записи не отображаются в списке выше.

  • Функция "Пригласить пользователей" не поддерживается в Microsoft Entra Подключение Health.

Шаг 3. Предоставление общего доступа к расположению колонки пользователям или группам

  1. После назначения разрешений пользователь может получить доступ к Microsoft Entra Подключение Health, перейдя здесь.

  2. В этой колонке пользователь может закрепить ее или различные элементы на панели мониторинга. Для этого нужно просто щелкнуть значок Закрепить колонку на панели мониторинга.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC pin blade, with pin icon highlighted.

Удаление пользователей или групп

Вы можете удалить пользователя или группу, добавленную в Microsoft Entra Подключение Health и Azure RBAC. Для этого просто щелкните пользователя или группу правой кнопкой мыши и выберите команду Удалить.

Screenshot of Microsoft Entra Connect Health and Azure RBAC with Remove highlighted.

Диагностика и устранение ошибок синхронизации повторяющихся атрибутов

Обзор

Шаг дальше, чтобы выделить ошибки синхронизации, Microsoft Entra Подключение Health представляет самостоятельное исправление. Он устраняет ошибки синхронизации повторяющихся атрибутов и устраняет объекты, потерянные из идентификатора Microsoft Entra. Функция диагностики имеет следующие преимущества:

  • Она предоставляет диагностическую процедуру, которая позволяет сузить сведения об ошибках синхронизации повторяющихся атрибутов. И обеспечивает соответствующие исправления.
  • Она применяет исправление для выделенных сценариев из идентификатора Microsoft Entra, чтобы устранить ошибку на одном шаге.
  • для включения этой функции не требуется обновление или настройка

Проблемы

Стандартный сценарий

При возникновении ошибок синхронизации В карантинеAttributeValueMustBeUnique и AttributeValueMustBeUnique часто отображается конфликт userPrincipalName или proxy-адресов в идентификаторе Microsoft Entra. Вы можете устранить ошибки синхронизации, обновив конфликтующий исходный объект в локальном расположении. Ошибка синхронизации будет устранена после следующей синхронизации. Например, на этом изображении указано, что у двух пользователей есть конфликт userPrincipalName. Оба являются Joe.J@contoso.com. Конфликтующие объекты помещаются в карантин в идентификаторе Microsoft Entra.

Diagram of the Diagnose sync error common scenarios. Most likely place to see errors.

Сценарий с потерянным объектом

Иногда можно обнаружить, что текущий пользователь теряет привязку к источнику. В локальном каталоге Active Directory произошло удаление исходного объекта. Но изменение сигнала удаления никогда не синхронизировано с идентификатором Microsoft Entra. Это может произойти из-за проблем механизма синхронизации или из-за переноса домена. Когда тот же объект восстанавливается или повторно создается, по логике для текущего пользователя должна выполняться синхронизация из привязки к источнику.

Если существующий пользователь является объектом только в облаке, можно также увидеть конфликтующего пользователя, синхронизированного с идентификатором Microsoft Entra. Пользователя невозможно сопоставить при синхронизации с существующим объектом. Прямого способа переназначить привязку к источнику нет.

Например, существующий объект в идентификаторе Microsoft Entra сохраняет лицензию Джо. Недавно синхронизированный объект с другой привязкой источника возникает в дубликатном состоянии атрибута в идентификаторе Microsoft Entra ID. Изменения для Джо в локальная служба Active Directory не будут применяться к исходному пользователю Джо (существующему объекту) в идентификаторе Microsoft Entra.

Screenshot of the Diagnose sync error orphaned object scenario. Track down objects that are orphaned.

Шаги по диагностике и устранению неполадок в Connect Health

Функция диагностики поддерживает объекты-пользователи со следующими повторяющимися атрибутами.

Имя атрибута Типы ошибок синхронизации
UserPrincipalName QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Важно!

Для доступа к этой функции требуется разрешение глобального администратора или участника в Azure RBAC.

Следуя инструкциям на портале Azure, вы сможете уточнить сведения об ошибках синхронизации и найти более конкретные решения.

Digram of the Sync error diagnosis steps. Use these steps to reach a resolution.

На портале Azure вам нужно выполнить несколько шагов, чтобы определить конкретные сценарии для исправления.

  1. Просмотрите столбец Diagnose status (Состояние диагностики). Состояние показывает, есть ли возможный способ исправить ошибку синхронизации непосредственно из идентификатора Microsoft Entra. Другими словами, существует ли процедура устранения неполадок, позволяющая уточнить ошибку и потенциально устранить ее.

    Состояние Что это значит?
    Не начата Вы не рассмотрели этот процесс диагностики. В зависимости от результата диагностики, может существовать возможность исправить ошибку синхронизации напрямую с портала.
    Требуется исправление вручную Ошибка не подпадает под критерии доступного исправления с портала. Возможно, конфликтующие типы объектов не являются пользователями или вы уже выполнили диагностику, а на портале нет доступных исправлений. В последнем случае одним из решений является исправление из локальной среды.
    Ожидается синхронизация Исправление было применено. Портал ожидает следующего цикла синхронизации для устранения ошибки.

  2. Нажмите кнопку Диагностика под сведениями об ошибке. Можно ответить на несколько вопросов и получить сведения об ошибке синхронизации. Ответы на вопросы помогают идентифицировать сценарий с потерянным объектом.

  3. Если после окончания диагностики появляется кнопка Закрыть, это означает, что на основе данных ответов на портале нет способов быстрого устранения неполадок. Выберите решение, показанное на последнем шаге. По-прежнему доступно устранение из локальной среды. Нажмите кнопку Закрыть. Состояние текущей ошибки синхронизации изменится на Требуется исправление вручную. Это состояние сохранится на протяжении текущего цикла синхронизации.

  4. После определения сценария с потерянным объектом вы сможете исправить ошибки синхронизации повторяющихся атрибутов напрямую с портала. Нажмите кнопку Применить исправление, чтобы активировать процесс. Состояние текущей ошибки синхронизации обновится и изменится на Ожидается синхронизация.

  5. После следующего цикла синхронизации ошибка будет удалена из списка.