Gestire Microsoft Entra Connect Health
Questa sezione descrive le varie operazioni che è possibile eseguire con Microsoft Entra Connect Health.
Abilitare le notifiche di posta elettronica
È possibile configurare il servizio Microsoft Entra Connect Health per inviare notifiche tramite posta elettronica quando gli avvisi indicano che l'infrastruttura di gestione delle identità non è in uno stato integro. Questo errore si verifica quando viene generato un avviso e quando viene risolto.
Nota
Le notifiche di posta elettronica sono abilitate per impostazione predefinita.
Per abilitare le notifiche tramite posta elettronica di Microsoft Entra Connect Health
- Aprire il pannello Avvisi per il servizio per cui si desidera ricevere una notifica di posta elettronica.
- Nella barra delle azioni fare clic su Impostazioni di notifica.
- Impostare l'opzione di notifica di posta elettronica su ON.
- Selezionare la casella di controllo per fare in modo che tutti gli amministratori globali ricevano notifiche di posta elettronica.
- Se si desidera ricevere notifiche di posta elettronica ad altri indirizzi di posta elettronica, specificarli nella casella Destinatari di posta elettronica aggiuntivi. Per rimuovere un indirizzo di posta elettronica da questo elenco, fare clic con il pulsante destro del mouse sulla voce interessata e scegliere Elimina.
- Per finalizzare le modifiche, fare clic su Salva. Le modifiche diventano effettive dopo il salvataggio.
Nota
In caso di problemi durante l'elaborazione delle richieste di sincronizzazione nel servizio back-end, quest'ultimo invia tramite e-mail una notifica con i dettagli dell'errore agli indirizzi e-mail dei contatti amministrativi del tenant. In base ai commenti e suggerimenti dei clienti, in alcuni casi il volume di questi messaggi risulta eccessivo; pertanto, si sta modificando la modalità di invio dei messaggi.
Anziché inviare un messaggio per ogni errore di sincronizzazione ogni volta che si verifica, verrà inviato un digest giornaliero di tutti gli errori restituiti dal servizio back-end. In questo modo i clienti potranno elaborare gli errori in modo più efficiente e verrà ridotto il numero di messaggi di errore duplicati.
Eliminare un server o un'istanza del servizio
Nota
La licenza Premium di Microsoft Entra ID è necessaria per i passaggi relativi all’eliminazione.
In alcuni casi può essere utile fare in modo che un server non venga più monitorato. Ecco cosa occorre sapere per rimuovere un server dal servizio Microsoft Entra Connect Health.
Quando si elimina un server, tenere presente quanto segue:
- Questa azione interrompe la raccolta di altri dati da tale server. Questo server viene rimosso dal servizio di monitoraggio. Dopo questa azione non sarà possibile visualizzare nuovi avvisi né dati di monitoraggio o di analisi di utilizzo per questo server.
- Questa azione non disinstalla o rimuove l'agente per l'integrità dal server. Se l'agente per l'integrità non è stato disinstallato prima di eseguire questo passaggio, potrebbero venire visualizzati errori correlati all'agente per l'integrità nel server.
- Questa azione non elimina i dati già raccolti da questo server. I dati vengono eliminati in conformità con i criteri di conservazione dei dati di Azure.
- Dopo avere eseguito questa azione, per avviare di nuovo il monitoraggio dello stesso server, disinstallare e reinstallare l'agente per l'integrità.
Eliminare un server dal servizio Microsoft Entra Connect Health
Nota
La licenza Premium di Microsoft Entra ID è necessaria per i passaggi relativi all’eliminazione.
Microsoft Entra Connect Health per Active Directory Federation Services (AD FS) e Microsoft Entra Connect (sincronizzazione):
Aprire il pannello Server dal pannello Elenco server selezionando il nome del server da rimuovere.
Nella barra delle azioni del pannello Server fare clic su Elimina.
Confermare il nome del server digitandolo nella casella di conferma.
Fai clic su Elimina.
Microsoft Entra Connect Health per Microsoft Entra Domain Services:
- Aprire il dashboard Controller di dominio.
- Selezionare il controller di dominio da rimuovere.
- Nella barra delle azioni fare clic su Elimina elemento selezionato.
- Confermare l'azione per eliminare il server.
- Fai clic su Elimina.
Eliminare un'istanza del servizio dal servizio Microsoft Entra Connect Health
In alcuni casi può essere utile rimuovere un'istanza del servizio. Ecco cosa occorre sapere per rimuovere un’istanza del servizio dal servizio Microsoft Entra Connect Health.
Quando si elimina un'istanza del servizio, tenere presente quanto segue:
- Questa azione rimuove l'istanza corrente del servizio dal servizio di monitoraggio.
- Questa azione non disinstalla o rimuove l'agente per l'integrità da alcun server monitorato come parte di questa istanza del servizio. Se l'agente per l'integrità non è stato disinstallato prima di eseguire questo passaggio, potrebbero venire visualizzati errori correlati all'agente per l'integrità nei server.
- Tutti i dati di questa istanza del servizio verranno eliminati secondo i criteri di conservazione dati di Azure.
- Dopo avere eseguito questa azione, per avviare il monitoraggio del servizio, disinstallare e reinstallare gli agenti per l'integrità in tutti i server. Dopo avere eseguito questa azione, per avviare di nuovo il monitoraggio dello stesso server, disinstallare, reinstallare e registrare l'agente per l'integrità in quel server.
Per eliminare un'istanza del servizio dal servizio Microsoft Entra Connect Health
Aprire il pannello Servizio dal pannello Elenco servizi selezionando l'identificatore del servizio (nome farm) che si desidera rimuovere.
Nella barra delle azioni del pannello Servizio fare clic su Elimina.
Confermare il nome del servizio digitandolo nella casella di conferma (ad esempio: sts.contoso.com).
Fai clic su Elimina.
Gestire l'accesso con il controllo degli accessi in base al ruolo di Azure
Il controllo degli accessi in base al ruolo di Azure per Microsoft Entra Connect Health offre accesso a utenti e gruppi con un ruolo diverso da quello di amministratore globale. Il controllo degli accessi in base al ruolo di Azure assegna ruoli agli utenti e ai gruppi desiderati e include un meccanismo per limitare gli amministratori globali all'interno della directory.
Ruoli
Microsoft Entra Connect Health supporta i ruoli predefiniti seguenti:
| Ruolo | Autorizzazioni |
|---|---|
| Proprietario | I proprietari possono gestire l'accesso (ad esempio assegnare un ruolo a un utente o gruppo), visualizzare tutte le informazioni (ad esempio gli avvisi) dal portale e modificare le impostazioni (ad esempio le notifiche tramite posta elettronica) all'interno di Microsoft Entra Connect Health. Per impostazione predefinita, agli amministratori globali di Microsoft Entra viene assegnato questo ruolo e questa impostazione non può essere cambiata. |
| Collaboratore | I collaboratori possono visualizzare tutte le informazioni (ad esempio gli avvisi) dal portale e modificare le impostazioni (ad esempio le notifiche tramite posta elettronica) all'interno di Microsoft Entra Connect Health. |
| Reader | I lettori possono visualizzare tutte le informazioni (ad esempio gli avvisi) dal portale all'interno di Microsoft Entra Connect Health. |
Tutti gli altri ruoli (ad esempio gli amministratori Accesso utenti o gli utenti DevTest Labs) non hanno alcun impatto sull'accesso all'interno di Microsoft Entra Connect Health, anche se i ruoli sono disponibili nell'esperienza del portale.
Ambito di accesso
Microsoft Entra Connect Health supporta la gestione dell'accesso a due livelli:
- Tutte le istanze del servizio: è il percorso consigliato nella maggior parte dei casi. Controlla l'accesso per tutte le istanze del servizio (ad esempio una farm AD FS) in tutti i tipi di ruolo monitorati da Microsoft Entra Connect Health.
- Istanza del servizio: in alcuni casi potrebbe essere necessario separare l'accesso in base ai tipi di ruolo o in base a un'istanza del servizio. In questo caso, è possibile gestire l'accesso a livello di istanza del servizio.
L'autorizzazione viene concessa se un utente finale ha accesso a livello di directory o a livello di istanza del servizio.
Consentire a utenti o gruppi di accedere a Microsoft Entra Connect Health
I passaggi che seguono spiegano come eseguire questa operazione.
Passaggio 1: Selezionare l'ambito dell’accesso appropriato
Per consentire a un utente di accedere al livello di tutte le istanze del servizio all'interno di Microsoft Entra Connect Health, aprire il riquadro principale di Microsoft Entra Connect Health.
Passaggio 2: Aggiungere utenti e gruppi e assegnare i ruoli
Nella sezione Configura fare clic su Utenti.
Seleziona Aggiungi.
Nel riquadro selezionare un ruolo selezionare un ruolo, ad esempio Proprietario.
Digitare il nome o l'identificatore dell'utente o del gruppo. È possibile selezionare uno o più utenti o gruppi contemporaneamente. Fare clic su Seleziona.
Seleziona OK.
Dopo avere completato l'assegnazione dei ruoli, gli utenti e i gruppi vengono visualizzati nell'elenco.
Ora gli utenti e i gruppi elencati hanno accesso, in base ai relativi ruoli assegnati.
Nota
Gli amministratori globali hanno sempre accesso completo a tutte le operazioni, ma gli account Global Administrator non saranno presenti nell'elenco precedente.
- La funzionalità Invita utenti non è supportata in Microsoft Entra Connect Health.
Passaggio 3: Condividere la posizione del riquadro con utenti o gruppi
Una volta assegnate le autorizzazioni, un utente può accedere a Microsoft Entra Connect Health da qui.
Nel pannello l'utente può aggiungere il pannello o parti di esso al dashboard. Fare semplicemente clic sull'icona Aggiungi a dashboard.
Rimuovere utenti o gruppi
È possibile rimuovere un utente o un gruppo aggiunto a Microsoft Entra Connect Health e al controllo degli accessi in base al ruolo di Azure. Fare semplicemente clic con il pulsante destro del mouse sull'utente o sul gruppo e selezionare Rimuovi.
Diagnosticare e correggere gli errori di sincronizzazione di attributi duplicati
Panoramica
Facendo un ulteriore passo avanti per evidenziare gli errori di sincronizzazione, Microsoft Entra Connect Health introduce un sistema di correzione self-service. Risolve gli errori di sincronizzazione degli attributi duplicati e corregge gli oggetti isolati da Microsoft Entra ID. La funzionalità di diagnostica presenta i vantaggi seguenti:
- Offre una procedura di diagnostica che consente di limitare gli errori di sincronizzazione degli attributi duplicati. E fornisce correzioni specifiche.
- Applica una correzione per scenari dedicati di Microsoft Entra ID per risolvere l'errore in un solo passaggio.
- Per abilitare queste funzionalità, non sono richiesti aggiornamenti o configurazioni.
I problemi
Scenario comune
Quando si verificano errori di sincronizzazione QuarantinedAttributeValueMustBeUnique e AttributeValueMustBeUnique, accade di frequente di vedere un conflitto UserPrincipalName o ProxyAddresses in Microsoft Entra ID. È possibile risolvere gli errori di sincronizzazione aggiornando l'oggetto di origine in conflitto dal lato locale. L'errore di sincronizzazione viene risolto dopo la sincronizzazione successiva. Ad esempio, questa immagine indica un conflitto tra due utenti con lo stesso UserPrincipalName. Sono entrambi Joe.J@contoso.com. Gli oggetti in conflitto vengono messi in quarantena in Microsoft Entra ID.
Scenario con oggetto orfano
In alcuni casi è possibile che un utente esistente perda l'oggetto Ancoraggio di origine. L'eliminazione dell'oggetto di origine è avvenuta in Active Directory locale. Ma la modifica del segnale di eliminazione non è mai stata sincronizzata con Microsoft Entra ID. Questa perdita avviene per motivi come problemi del motore di sincronizzazione o la migrazione di un dominio. Quando lo stesso oggetto viene ripristinato o ricreato, dal punto di vista logico l'utente esistente deve essere l'utente da sincronizzare dall'ancoraggio di origine.
Quando un utente esistente è un oggetto solo cloud, è possibile visualizzare l'utente in conflitto sincronizzato con Microsoft Entra ID. L'utente non può essere abbinato come sincronizzato con l'oggetto esistente. Non esiste un modo diretto per eseguire di nuovo il mapping dell'ancoraggio di origine.
Ad esempio, l'oggetto esistente in Microsoft Entra ID mantiene la licenza di Joe. Un nuovo oggetto sincronizzato con un ancoraggio di origine diverso si troverà in uno stato di attributo duplicato in Microsoft Entra ID. Le modifiche per Joe in Active Directory locale non verranno applicate all'utente originale di Joe (oggetto esistente) in Microsoft Entra ID.
Procedura di diagnostica e risoluzione dei problemi in Connect Health
La funzionalità di diagnostica supporta oggetti utente con gli attributi duplicati seguenti:
| Nome attributo | Tipi di errore di sincronizzazione |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Importante
Per accedere a questa funzionalità è necessario avere un'autorizzazione di amministratore globale o di collaboratore del controllo degli accessi in base al ruolo di Azure.
Seguire la procedura dal portale di Azure per limitare i dettagli degli errori di sincronizzazione e fornire soluzioni più specifiche:
Dal portale di Azure sono sufficienti pochi passaggi per identificare scenari risolvibili specifici:
Controllare la colonna Diagnose status (Stato diagnosi). Lo stato indica se esiste un modo per correggere un errore di sincronizzazione direttamente da Microsoft Entra ID. In altre parole, esiste un flusso di risoluzione dei problemi che può identificare il caso di errore e potenzialmente risolverlo.
Stato Significato Non avviata Questo processo di diagnosi non è stato avviato. A seconda del risultato della diagnosi; esiste potenzialmente un modo per correggere l'errore di sincronizzazione direttamente dal portale. Correzione manuale necessaria L'errore non rientra nei criteri delle correzioni disponibili dal portale. È possibile che i tipi di oggetto in conflitto non siano utenti oppure la procedura diagnostica è stata eseguita e nessuna risoluzione è disponibile dal portale. Nel secondo caso, una correzione dal lato locale è ancora una delle soluzioni. In attesa di sincronizzazione È stata applicata una correzione. Il portale è in attesa del successivo ciclo di sincronizzazione per cancellare l'errore. Selezionare il pulsante Esegui diagnosi sotto i dettagli dell'errore. Verrà richiesto di rispondere ad alcune domande per identificare i dettagli dell'errore di sincronizzazione. Le risposte alle domande sono utili per identificare un caso di oggetto orfano.
La presenza di un pulsante Chiudi al termine della diagnostica indica che non è disponibile una correzione rapida dal portale in base alle risposte fornite. Fare riferimento alla soluzione illustrata nell'ultimo passaggio. Le correzioni in locale sono ancora le soluzioni. Selezionare il pulsante Chiudi. Lo stato dell'errore di sincronizzazione corrente diventa Correzione manuale necessaria. Lo stato rimane durante il ciclo di sincronizzazione corrente.
Dopo avere identificato un caso di oggetto orfano, è possibile correggere gli errori di sincronizzazione relativi agli attributi duplicati direttamente dal portale. Per attivare il processo, selezionare il pulsante Applica correzione. Lo stato dell'errore di sincronizzazione corrente diventa In attesa di sincronizzazione.
Dopo il ciclo di sincronizzazione successivo l'errore dovrebbe essere rimosso dall'elenco.