Microsoft Entra Connect Health 操作
本主题介绍可通过使用 Microsoft Entra Connect Health 执行的各种操作。
启用电子邮件通知
可以对 Microsoft Entra Connect Health 服务进行配置,以便在警报指示标识基础结构运行不正常时发送电子邮件通知。 当生成并解析警报后,会发送电子邮件通知。
注意
默认情况下电子邮件通知处于启用状态。
启用 Microsoft Entra Connect Health 电子邮件通知的步骤
- 在 Microsoft Entra 管理中心内,搜索 Microsoft Entra Connect Health
- 选择“同步错误”
- 选择“通知设置”。
- 在电子邮件通知开关处,选择“开”。
- 若要让所有混合标识管理员都能接收电子邮件通知,请选中该复选框。
- 若想通过任何其他电子邮件地址接收电子邮件通知,则可在“其他电子邮件收件人”框中进行指定相应邮件地址。 若要从该列表中删除电子邮件地址,可右键单击相应的条目,然后选择“删除”。
- 若要保存所做更改,请单击“保存”。 只有在保存之后,更改才会生效。
注意
如果后端服务在处理同步请求时出现问题,此服务会向租户的管理联系人电子邮件地址发送一封包含错误详细信息的通知电子邮件。 我们从客户那里听到反馈说,在某些情况下,这些消息的数量非常大,所以我们正在改变发送这些消息的方式。
我们将发送后端服务返回的所有错误的每日摘要,而不是每次发生同步错误时都发送消息。 根据前一天的未解决错误,每天发送一次同步错误电子邮件。 因此,如果客户触发了错误,但很快就解决了错误,他们第二天便不会收到电子邮件。 这样,客户就能够以更有效的方式处理这些错误并减少重复的错误消息数。
删除服务器或服务实例
注意
删除步骤需要 Microsoft Entra ID P1 或 P2 许可证。
在某些情况下,可能需要从被监视的服务器中删除某个服务器。 以下是关于从 Microsoft Entra Connect Health 服务中删除服务器的说明。
删除服务器时,请注意以下事项:
- 此操作会导致再也无法从该服务器收集任何数据。 将从监视服务中删除此服务器。 执行此操作之后,将无法查看该服务器的新警报、监视数据或使用情况分析数据。
- 此操作不会从服务器中卸载 Health 代理。 如果在执行此步骤之前未卸载 Health 代理,执行此步骤时,则可能会在服务器上看到与 Health 代理相关的错误事件。
- 此操作不会删除已从该服务器上收集的数据。 将根据 Azure 数据保留策略删除该数据。
- 执行此操作后,如果要重新开始监视同一服务器,必须在此服务器上先卸载 Health 代理,然后重新安装。
从 Microsoft Entra Connect Health 服务中删除服务器
注意
删除步骤需要 Microsoft Entra ID P1 或 P2 许可证。
用于 Active Directory 联合身份验证服务 (AD FS) 的 Microsoft Entra Connect Health 和 Microsoft Entra Connect(同步):
- 通过选择要删除的服务器名称,从“服务器列表”边栏选项卡中打开“服务器”边栏选项卡。
- 在操作栏中的“服务器”边栏选项卡上,单击“删除”。
- 在确认框中键入服务器名称以进行确认。
- 单击 “删除” 。
适用于 AD 域服务的 Microsoft Entra Connect Health:
- 打开“域控制器”仪表板。
- 选择要删除的域控制器。
- 在操作栏中,单击“删除所选项”。
- 确认删除服务器的操作。
- 单击 “删除” 。
从 Microsoft Entra Connect Health 服务中删除服务实例
在某些情况下,可能需要删除某个服务实例。 以下是关于从 Microsoft Entra Connect Health 服务中删除服务实例的说明。
删除服务实例时,请注意以下事项:
- 此操作将从监视服务中删除当前服务实例。
- 此操作不会从任何服务器中卸载或删除已作为此服务器实例的一部分进行监视的 Health 代理。 如果在执行此步骤之前未卸载 Health 代理,执行此步骤时,则可能会在服务器上看到与 Health 代理相关的错误事件。
- 将根据 Microsoft Azure 数据保留策略删除此服务实例中的所有数据。
- 执行此操作后,如果要开始监视此服务,请在所有服务器上先卸载 Health 代理,然后重新安装。 执行此操作后,如果要再次开始监视同一服务器,请先在此服务器上卸载、重新安装并注册 Health 代理。
从 Microsoft Entra Connect Health 服务中删除服务实例的步骤
- 通过选择要删除的服务标识符(场名称),从“服务列表”边栏选项卡中打开“服务”边栏选项卡。
- 在操作栏中的“服务”边栏选项卡上,单击“删除”。
- 在确认框中键入服务名称(例如:sts.contoso.com)以进行确认。
- 单击 “删除” 。
使用 Azure RBAC 管理访问权限
用于 Microsoft Entra Connect Health 的 Azure 基于角色的访问控制 (Azure RBAC) 向混合标识管理员以外的用户和组提供访问权限。 Azure RBAC 会将角色分配给目标用户和组,并提供一个机制来将混合标识管理员的权限限制在你的目录中。
角色
Microsoft Entra Connect Health 支持以下内置角色:
| 角色 | 权限 |
|---|---|
| 所有者 | 所有者可以在 Microsoft Entra Connect Health 中管理访问权限(例如将角色分配到用户或组)、从门户查看所有信息(例如查看警报信息),以及更改设置(例如设置电子邮件通知)。 默认情况下,将为 Microsoft Entra 混合标识管理员分配此角色,并且无法更改此角色。 |
| 参与者 | 参与者可以在 Microsoft Entra Connect Health 中从门户查看所有信息(例如查看警报信息)以及更改设置(例如设置电子邮件通知)。 |
| 读者 | 读取者可以在 Microsoft Entra Connect Health 中从门户查看所有信息(例如查看警报信息)。 |
即使可在门户体验中使用其他所有角色(例如“用户访问管理员”或“DevTest 实验室用户”),这些角色也不会对 Microsoft Entra Connect Health 中的访问权限产生影响。
访问范围
Microsoft Entra Connect Health 支持两个级别的访问管理:
- 所有服务实例:这是大多数情况下的建议路径。 它控制由 Microsoft Entra Connect Health 监视的所有角色类型的所有服务实例(例如,AD FS 场)的访问权限。
- 服务实例:在某些情况下,可能需要根据角色类型或服务实例来区分访问。 在此情况下,可以在服务实例级别管理访问。
如果最终用户有权在目录或服务实例级别访问,则会被授予权限。
允许用户或组访问 Microsoft Entra Connect Health
以下步骤显示如何允许访问。
步骤 1:选择适当的访问范围
若要允许用户访问 Microsoft Entra Connect Health 中的所有服务实例级别,请在 Microsoft Entra Connect Health 中打开主边栏选项卡。
步骤 2:添加用户和组并分配角色
- 在“配置”部分中,单击“用户”。
- 选择 添加 。
- 在“选择角色”窗格中,选择一个角色(例如“所有者”)。
- 键入目标用户或组的名称或标识符。 可以同时选择一个或多个用户或组。 单击“选择”。
- 选择“确定”。
- 完成角色分配后,用户和组将显示在列表中。
现在,列出的用户和组具有基于所分配角色的相应访问权限。
注意
- 全局管理员始终拥有所有操作的完全访问权限,但全局管理员帐户不会出现在上述列表中。
- “邀请用户”功能在 Microsoft Entra Connect Health 中不受支持。
步骤 3:与用户或组共享边栏选项卡位置
- 分配权限后,用户可以转到此处,访问 Microsoft Entra Connect Health。
- 在边栏选项卡上,用户可将边栏选项卡或卡上的其他部件固定到仪表板。 只需单击“固定到仪表板”图标。
注意
分配有“读取者”角色的用户无法从 Azure 市场获取 Microsoft Entra Connect Health 扩展。 这类用户无法执行实现上述操作所必需的“创建”操作。 但此用户仍可通过转到前一链接来访问边栏选项卡。 为方便后续使用,用户可以将边栏选项卡固定到仪表板。
删除用户或组
可删除已添加到 Microsoft Entra Connect Health 和 Azure RBAC 的用户或组。 只需右键单击用户或组,然后选择“删除”。
