Správa služby Microsoft Entra Health

  • 7 min

Tato část popisuje různé operace, které můžete provádět pomocí služby Microsoft Entra Připojení Health.

Povolení e-mailových oznámení

Službu Microsoft Entra Připojení Health můžete nakonfigurovat tak, aby posílala e-mailová oznámení, když výstrahy indikují, že vaše infrastruktura identit není v pořádku. K tomu dochází, když se vygeneruje výstraha a když se vyřeší.

Screenshot of Microsoft Entra Connect Health email notification settings. Enter your admin's email.

Poznámka:

E-mailová oznámení jsou ve výchozím nastavení povolená.

Povolení e-mailových oznámení služby Microsoft Entra Připojení Health

  1. Otevřete okno Upozornění pro službu, pro kterou chcete dostávat e-mailové oznámení.
  2. Na panelu akcí klikněte na Nastavení Oznámení.
  3. V přepínači e-mailových oznámení vyberte ZAPNUTO.
  4. Zaškrtněte políčko, pokud chcete, aby všichni globální správci dostávali e-mailová oznámení.
  5. Pokud chcete dostávat e-mailová oznámení na jakékoli jiné e-mailové adresy, zadejte je do pole Další příjemci e-mailu. Pokud chcete odebrat e-mailovou adresu z tohoto seznamu, klikněte pravým tlačítkem myši na položku a vyberte Odstranit.
  6. Chcete-li změny dokončit, klikněte na tlačítko Uložit. Změny se projeví až po uložení.

Poznámka:

Pokud dojde k problémům se zpracováním žádostí o synchronizaci v naší back-endové službě, odešle tato služba e-mail s podrobnostmi o chybě na kontaktní e-mailové adresy správce vašeho tenanta. Slyšeli jsme zpětnou vazbu od zákazníků, že v některých případech je objem těchto zpráv příliš velký, takže měníme způsob odesílání těchto zpráv.

Místo odeslání zprávy pro každou chybu synchronizace pokaždé, když k ní dojde, pošleme denní přehled všech chyb, které back-endová služba vrátila. Zákazníci tak můžou tyto chyby zpracovat efektivněji a snížit počet duplicitních chybových zpráv.

Odstranění instance serveru nebo služby

Poznámka:

Pro kroky odstranění se vyžaduje licence Microsoft Entra ID Premium.

V některých případech můžete chtít odebrat server z monitorování. Tady je to, co potřebujete vědět, abyste ze služby Microsoft Entra Připojení Health odebrali server.

Při odstraňování serveru mějte na paměti následující skutečnosti:

  • Tato akce přestane shromažďovat veškerá další data z tohoto serveru. Tento server se odebere ze služby monitorování. Po této akci nemůžete zobrazit nová upozornění, monitorování nebo data analýzy využití pro tento server.
  • Tato akce neodinstaluje agenta health z vašeho serveru. Pokud jste agenta health před provedením tohoto kroku neodinstalovali, můžou se na serveru zobrazit chyby související s agentem stavu.
  • Tato akce neodstraní data shromážděná z tohoto serveru. Tato data se odstraní v souladu se zásadami uchovávání dat Azure.
  • Po provedení této akce, pokud chcete znovu spustit monitorování stejného serveru, je nutné odinstalovat a znovu nainstalovat agenta health na tomto serveru.

Odstranění serveru ze služby Microsoft Entra Připojení Health

Poznámka:

Pro kroky odstranění se vyžaduje licence Microsoft Entra ID Premium.

Microsoft Entra Připojení Health pro Active Directory Federation Services (AD FS) (AD FS) a Microsoft Entra Připojení (synchronizace):

  1. Výběrem názvu serveru, který chcete odebrat, otevřete okno Server v okně Seznam serverů.

  2. V okně Server klikněte na panelu akcí na Odstranit.

    Screenshot of Microsoft Entra Connect Health delete server. Only keep servers that are active.

  3. Potvrďte zadáním názvu serveru do potvrzovacího pole.

  4. Klepněte na tlačítko Odstranit.

Microsoft Entra Připojení Health for Microsoft Entra Domain Services:

  1. Otevřete řídicí panel Řadiče domény.
  2. Vyberte řadič domény, který se má odebrat.
  3. Na panelu akcí klikněte na Odstranit vybranou položku.
  4. Potvrďte akci odstranění serveru.
  5. Klepněte na tlačítko Odstranit.

Odstranění instance služby ze služby Microsoft Entra Připojení Health

V některých případech můžete chtít odebrat instanci služby. Tady je to, co potřebujete vědět, abyste ze služby Microsoft Entra Připojení Health odebrali instanci služby.

Při odstraňování instance služby mějte na paměti následující skutečnosti:

  • Tato akce odebere aktuální instanci služby ze služby monitorování.
  • Tato akce neodinstaluje ani neodebere agenta stavu z žádného ze serverů monitorovaných jako součást této instance služby. Pokud jste agenta health před provedením tohoto kroku neodinstalovali, můžou se na serverech zobrazit chyby související s agentem stavu.
  • Všechna data z této instance služby se odstraní v souladu se zásadami uchovávání dat Azure.
  • Pokud po provedení této akce chcete spustit monitorování služby, odinstalujte a znovu nainstalujte agenta health na všech serverech. Pokud po provedení této akce chcete znovu spustit monitorování stejného serveru, odinstalujte, znovu nainstalujte a zaregistrujte agenta health na tomto serveru.

Odstranění instance služby ze služby Microsoft Entra Připojení Health

  1. V okně Seznam služeb otevřete okno Služba tak, že vyberete identifikátor služby (název farmy), který chcete odebrat.

  2. V okně Služba klikněte na panelu akcí na Odstranit.

    Screenshot of Microsoft Entra Connect Health delete service. Remove unwanted services.

  3. Potvrďte zadáním názvu služby do potvrzovacího pole (například: sts.contoso.com).

  4. Klepněte na tlačítko Odstranit.

Správa přístupu pomocí řízení přístupu na základě role Azure

Řízení přístupu na základě role v Azure (Azure RBAC) pro Microsoft Entra Připojení Health poskytuje přístup k uživatelům a skupinám jiným než globálním správcům. Azure RBAC přiřazuje role zamýšleným uživatelům a skupinám a poskytuje mechanismus pro omezení globálních správců v rámci vašeho adresáře.

Role

Microsoft Entra Připojení Health podporuje následující předdefinované role:

Role Oprávnění
Vlastník Vlastníci můžou spravovat přístup (například přiřadit roli uživateli nebo skupině), zobrazit všechny informace (například zobrazit upozornění) z portálu a změnit nastavení (například e-mailová oznámení) v rámci služby Microsoft Entra Připojení Health. Ve výchozím nastavení mají globální správci Microsoft Entra přiřazenou tuto roli a nelze ji změnit.
Přispěvatel Přispěvatelé můžou zobrazit všechny informace (například zobrazit upozornění) z portálu a změnit nastavení (například e-mailová oznámení) v rámci služby Microsoft Entra Připojení Health.
Čtenář Čtenáři můžou zobrazit všechny informace (například zobrazit výstrahy) z portálu v rámci služby Microsoft Entra Připojení Health.

Všechny ostatní role (například User Access Správa istrators nebo DevTest Labs Users) nemají žádný vliv na přístup v rámci služby Microsoft Entra Připojení Health, i když jsou role dostupné v prostředí portálu.

Obor přístupu

Microsoft Entra Připojení Health podporuje správu přístupu na dvou úrovních:

  • Všechny instance služby: Ve většině případů se jedná o doporučenou cestu. Řídí přístup pro všechny instance služby (například farmu služby AD FS) napříč všemi typy rolí, které monitoruje Microsoft Entra Připojení Health.
  • Instance služby: V některých případech může být potřeba oddělit přístup na základě typů rolí nebo instance služby. V takovém případě můžete spravovat přístup na úrovni instance služby.

Oprávnění se uděluje, pokud má koncový uživatel přístup na úrovni adresáře nebo instance služby.

Povolit uživatelům nebo skupinám přístup ke službě Microsoft Entra Připojení Health

Následující kroky ukazují, jak povolit přístup.

Krok 1: Výběr odpovídajícího oboru přístupu

Pokud chcete uživateli povolit přístup na úrovni všech instancí služby v rámci služby Microsoft Entra Připojení Health, otevřete hlavní okno v Microsoft Entra Připojení Health.

Krok 2: Přidání uživatelů a skupin a přiřazení rolí

  1. V části Konfigurovat klikněte na položku Uživatelé.

    Screenshot of Microsoft Entra Connect Health resource sidebar. Add the users you need.

  2. Vyberte Přidat.

  3. V podokně Vybrat roli vyberte roli (například Vlastník).

    Screenshot of Microsoft Entra Connect Health and Azure RBAC configure menu.

  4. Zadejte název nebo identifikátor cílového uživatele nebo skupiny. Můžete vybrat jednoho nebo více uživatelů nebo skupin najednou. Klepněte na tlačítko Vybrat.

    Screenshot of Microsoft Entra Connect Health and Azure RBAC and new users highlighted.

  5. Vyberte OK.

  6. Po dokončení přiřazení role se v seznamu zobrazí uživatelé a skupiny.

Teď mají uvedení uživatelé a skupiny přístup podle jejich přiřazených rolí.

Poznámka:

Globální správci mají vždy úplný přístup ke všem operacím, ale účty globálních správců nejsou uvedené v předchozím seznamu.

  • Funkce Pozvat uživatele není podporována ve službě Microsoft Entra Připojení Health.

Krok 3: Sdílení umístění okna s uživateli nebo skupinami

  1. Po přiřazení oprávnění může uživatel získat přístup ke službě Microsoft Entra Připojení Health tak, že přejde sem.

  2. V okně může uživatel připnout okno nebo jeho různé části na řídicí panel. Jednoduše klikněte na ikonu Připnout na řídicí panel .

    Screenshot of Microsoft Entra Connect Health and Azure RBAC pin blade, with pin icon highlighted.

Odebrání uživatelů nebo skupin

Uživatele nebo skupinu přidanou do Microsoft Entra Připojení Health a Azure RBAC můžete odebrat. Jednoduše klikněte pravým tlačítkem myši na uživatele nebo skupinu a vyberte Odebrat.

Screenshot of Microsoft Entra Connect Health and Azure RBAC with Remove highlighted.

Diagnostika a oprava chyb synchronizace kvůli duplicitním atributům

Přehled

Pokud chcete zvýraznit chyby synchronizace, microsoft Entra Připojení Health zavádí samoobslužnou nápravu. Řeší chyby synchronizace duplicitních atributů a opravuje objekty, které jsou osamocené z ID Microsoft Entra. Funkce diagnostiky má tyto výhody:

  • Poskytuje diagnostický postup, který zúží chyby synchronizace duplicitních atributů. A poskytuje konkrétní opravy.
  • Použije opravu pro vyhrazené scénáře z ID Microsoft Entra k vyřešení chyby v jednom kroku.
  • K povolení této funkce není potřeba žádný upgrade ani konfigurace.

Problémy

Běžný scénář

Když dojde k chybám synchronizace QuarantinedAttributeValueMustBeUnique a AttributeValueMustBeUnique , je běžné vidět konflikt userPrincipalName nebo proxy adres v Microsoft Entra ID. Chyby synchronizace můžete vyřešit aktualizací konfliktních zdrojových objektů z místní strany. Chyba synchronizace se vyřeší po další synchronizaci. Tento obrázek například označuje, že dva uživatelé mají konflikt jejich UserPrincipalName. Oba jsou Joe.J@contoso.com. Konfliktní objekty jsou v microsoft Entra ID v karanténě.

Diagram of the Diagnose sync error common scenarios. Most likely place to see errors.

Scénář osamocených objektů

Někdy můžete zjistit, že stávající uživatel ztratí zdrojové ukotvení. Odstranění zdrojového objektu proběhlo v místní Active Directory. Ale změna signálu odstranění se nikdy nesynchronizovala s Microsoft Entra ID. K této ztrátě dochází z důvodů, jako jsou problémy se synchronizačním modulem nebo migrace domény. Pokud se stejný objekt obnoví nebo znovu vytvoří, logicky by existující uživatel měl být uživatelem, který se má synchronizovat ze zdrojového ukotvení.

Pokud je existujícím uživatelem pouze cloudový objekt, uvidíte také konfliktní uživatele synchronizovaný s Microsoft Entra ID. Uživatel se nedá synchronizovat s existujícím objektem. Neexistuje žádný přímý způsob, jak přemapovat zdrojové ukotvení.

Například stávající objekt v ID Microsoft Entra zachová licenci Joea. Nově synchronizovaný objekt s jiným zdrojovým ukotvení se vyskytuje ve stavu duplicitního atributu v ID Microsoft Entra. Změny pro Joea v místní Active Directory se v Microsoft Entra ID nepoužijí u původního uživatele Joea (existujícího objektu).

Screenshot of the Diagnose sync error orphaned object scenario. Track down objects that are orphaned.

Postup diagnostiky a řešení potíží ve službě Připojení Health

Funkce diagnostiky podporuje uživatelské objekty s následujícími duplicitními atributy:

Název atributu Typy chyb synchronizace
UserPrincipalName QuarantinedAttributeValueMustBeUnique nebo AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique nebo AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Důležité

Pro přístup k této funkci se vyžaduje oprávnění Globální Správa nebo Přispěvatel z Azure RBAC.

Pokud chcete zúžit podrobnosti o chybě synchronizace a poskytnout konkrétnější řešení, postupujte podle kroků na webu Azure Portal:

Digram of the Sync error diagnosis steps. Use these steps to reach a resolution.

Na webu Azure Portal proveďte několik kroků k identifikaci konkrétních opravitelných scénářů:

  1. Zkontrolujte sloupec Diagnostikovat stav. Stav ukazuje, jestli existuje možný způsob, jak opravit chybu synchronizace přímo z ID Microsoft Entra. Jinými slovy, tok řešení potíží existuje, který může zúžit případ chyby a potenciálně ho opravit.

    Stav Co to znamená?
    Nezahájeno Tento proces diagnostiky jste navštívili. V závislosti na výsledku diagnostiky existuje potenciální způsob, jak chybu synchronizace opravit přímo z portálu.
    Ruční oprava požadovaná Chyba neodpovídá kritériím dostupných oprav na portálu. Konfliktní typy objektů nejsou uživatelé nebo jste už prošli diagnostickými kroky a na portálu není k dispozici žádné řešení opravy. V druhém případě je oprava z místní strany stále jedním z řešení.
    Čekající synchronizace Byla použita oprava. Portál čeká na další cyklus synchronizace, aby se chyba vymaže.

  2. V podrobnostech o chybě vyberte tlačítko Diagnostika. Odpovíte na několik otázek a identifikujete podrobnosti o chybě synchronizace. Odpovědi na otázky pomáhají identifikovat osamocený případ objektu.

  3. Pokud se na konci diagnostiky zobrazí tlačítko Zavřít, na základě odpovědí na portálu není k dispozici žádná rychlá oprava. Projděte si řešení uvedené v posledním kroku. Opravy z místního prostředí jsou stále řešení. Vyberte tlačítko Zavřít. Stav aktuální chyby synchronizace se přepne na ruční opravu. Stav zůstane během aktuálního cyklu synchronizace.

  4. Po identifikaci osamocených objektů můžete chyby synchronizace duplicitních atributů opravit přímo z portálu. Pokud chcete proces aktivovat, vyberte tlačítko Použít opravu . Stav aktuální chyby synchronizace se aktualizuje na čekající synchronizaci.

  5. Po dalším cyklu synchronizace by se chyba měla ze seznamu odebrat.