Azure Active Directory Connect Health の操作

  • [アーティクル]

このトピックでは、Azure Active Directory (Azure AD) Connect Health を使用して実行できるさまざまな操作について説明します。

電子メール通知を有効にする

ID インフラストラクチャの状態に問題があることをアラートが示した場合に、電子メール通知を送信するように Azure AD Connect Health サービスを構成することができます。 この通知は、アラートが生成されたときと、解決されたときに送信されます。

Azure AD Connect Health のメール通知の設定のスクリーンショット

注意

既定では、電子メール通知は有効です。

Azure AD Connect Health の電子メール通知を有効にするには

  1. Azure Portal で、Azure AD Connect Health を検索します。
  2. [同期エラー] を選択します
  3. [通知設定] を選択します。
  4. 電子メール通知スイッチで、 [オン] を選択します。
  5. すべてのハイブリッド ID 管理者が電子メール通知を受信するようにする場合は、チェック ボックスをオンにします。
  6. 他の電子メール アドレスで電子メール通知を受信する必要がある場合は、 [追加の電子メール受信者] ボックスで指定します。 このリストから電子メール アドレスを削除するには、対象のエントリを右クリックして [削除] を選択します。
  7. 変更を確定するには、 [保存] をクリックします。 保存した後にのみ変更は有効になります。

注意

バックエンド サービスで同期要求を処理する際に問題が発生した場合は、このサービスからご利用のテナントの管理者の連絡先の電子メール アドレスに、エラーの詳細が記載された通知電子メールが送信されます。 特定のケースではこれらのメッセージの量が非常に多くなるというフィードバックをお客様からいただいたので、これらのメッセージの送信方法を変更中です。

同期エラーが発生するたびに毎回メッセージを送信するのではなく、バックエンド サービスから返されたすべてのエラーのダイジェストを毎日送信することになります。 これにより、お客様はより効率的な方法でこれらのエラーを処理し、重複するエラー メッセージの数を減らすことができます。

サーバーまたはサービス インスタンスを削除する

注意

削除の手順を実行するには、Azure AD Premium ライセンスが必要です。

特定のサーバーを監視対象から除外しなければならない場合があります。 Azure AD Connect Health サービスから特定のサーバーを削除する場合に必要な知識をここで説明します。

サーバーを削除する際は次の点に注意してください。

  • 削除したサーバーからはデータが一切収集されなくなります。 そのサーバーは監視サービスから除外されます。 削除されたサーバーについての新しいアラートや監視データ、使用状況分析データは表示できません。
  • このアクションによって、Health エージェントがサーバーからアンインストールされることはありません。 Health エージェントをアンインストールせずにこの手順を実行した場合、そのサーバー上の Health エージェントに関連したエラーが表示されます。
  • このサーバーから既に収集されたデータは削除されません。 収集済みのデータは、Azure のデータ リテンション期間ポリシーに従って削除されます。
  • このアクションを実行した後、同じサーバーの監視を再開する場合、このサーバー上の Health エージェントをアンインストールしてから再インストールしてください。

Azure AD Connect Health サービスからサーバーを削除する

注意

削除の手順を実行するには、Azure AD Premium ライセンスが必要です。

Active Directory フェデレーション サービス (AD FS) および Azure AD Connect (Sync) の Azure AD Connect Health の場合は、以下の手順に従います。

  1. [サーバーの一覧] ブレードから、削除するサーバー名を選択して [サーバー] ブレードを開きます。
  2. [サーバー] ブレードで、操作バーの [削除] をクリックします。 Azure AD Connect Health でのサーバーの削除のスクリーンショット
  3. 確認ボックスにサーバー名を入力して確定します。
  4. [削除] をクリックします。

Azure Active Directory Domain Services の Azure AD Connect Health の場合は、以下の手順に従います。

  1. [ドメイン コントローラー] ダッシュボードを開きます。
  2. 削除するドメイン コントローラーを選択します。
  3. 操作バーの [選択した項目を削除] をクリックします。
  4. サーバーの削除アクションを確定します。
  5. [削除] をクリックします。

Azure AD Connect Health サービスからのサービス インスタンスの削除

特定のサービス インスタンスを削除しなければならない場合があります。 Azure AD Connect Health サービスから特定のサービス インスタンスを削除する場合に必要な知識をここで説明します。

サービス インスタンスを削除する際は次の点に注意してください。

  • このアクションによって、現在のサービス インスタンスが監視サービスから削除されます。
  • このサービス インスタンスの一部として監視されていたいずれのサーバーからも、Health エージェントがアンインストールされることや削除されることはありません。 Health エージェントをアンインストールせずにこの手順を実行した場合、そのサーバー上の Health エージェントに関連したエラーが表示されます。
  • このサービス インスタンスからのデータはすべて、Azure のデータ リテンション期間ポリシーに従って削除されます。
  • このアクションを実行した後、サービスの監視を再開する場合、すべてのサーバー上の Health エージェントをアンインストールしてから再インストールしてください。 このアクションを実行した後、同じサーバーの監視を再開する場合、そのサーバー上の Health エージェントをアンインストールしてから再インストールし、登録してください。

Azure AD Connect Health サービスからサービス インスタンスを削除するには

  1. [サービスの一覧] ブレードから、削除するサービスの ID (ファーム名) を選択して、 [サービス] ブレードを開きます。
  2. [サービス] ブレードで、操作バーの [削除] をクリックします。 Azure AD Connect Health でのサービスの削除のスクリーンショット
  3. 確認ボックスにサービス名 (例: sts.contoso.com) を入力して確定します。
  4. [削除] をクリックします。

Azure RBAC を使用したアクセスの管理

Azure AD Connect Health の Azure ロールベースのアクセス制御 (Azure RBAC) は、ハイブリッド ID 管理者以外のユーザーおよびグループにアクセスを提供します。 Azure RBAC では、目的のユーザーおよびグループにロールを割り当て、ディレクトリ内のハイブリッド ID 管理者を制限するメカニズムが用意されています。

ロール

Azure AD Connect Health では、次の組み込みのロールがサポートされています。

Role アクセス許可
所有者 所有者は、"アクセスの管理" (例: ユーザーやグループへのロールの割り当て)、ポータルからの "すべての情報の表示" (例: アラートの表示)、Azure AD Connect Health 内の "設定の変更" (例: 電子メール通知) を実行できます。
このロールは、既定で Azure AD のハイブリッド ID 管理者に割り当てられ、これを変更することはできません。
Contributor 共同作成者は、ポータルからの "すべての情報の表示" (例: アラートの表示) と Azure AD Connect Health 内の "設定の変更" (例: 電子メール通知) を実行できます。
Reader 閲覧者は、ポータルから Azure AD Connect Health 内の "すべての情報の表示" (例: アラートの表示) を実行できます。

上記以外のすべてのロール ("ユーザー アクセス管理者" や "DevTest Labs ユーザー" など) は、ポータル エクスペリエンスで利用できる場合でも、Azure AD Connect Health 内のアクセスに影響することはありません。

アクセス スコープ

Azure AD Connect Health では、2 つのレベルのアクセス管理をサポートします。

  • すべてのサービス インスタンス: これはほとんどの場合の推奨パスです。 Azure AD Connect Health によって監視されるすべてのロールの種類のすべてのサービス インスタンス (たとえば、AD FS ファーム) のアクセスを制御します。
  • サービス インスタンス: 場合によっては、ロールの種類またはサービス インスタンスに基づいてアクセスを分離する必要があります。 この場合は、サービス インスタンス レベルでアクセスを管理できます。

アクセス許可は、エンド ユーザーがディレクトリ レベルまたはサービス インスタンス レベルのいずれかでアクセス権がある場合に与えられます。

ユーザーまたはグループに Azure AD Connect Health へのアクセスを許可する

次の手順では、アクセスを許可する方法を説明します。

手順 1: 適切なアクセス スコープを選択する

Azure AD Connect Health 内で "すべてのサービス インスタンス" レベルのユーザーにアクセスを許可するには、Azure AD Connect Health でメイン ブレードを開きます。

手順 2: ユーザーおよびグループを追加し、ロールを割り当てる

  1. [構成] セクションで、 [ユーザー] をクリックします。
    Azure AD Connect Health リソースのサイドバーのスクリーンショット
  2. [追加] を選択します。
  3. [役割の選択] ウィンドウで、ロール (たとえば、 [所有者] ) を選択します。
    Azure AD Connect Health と Azure RBAC の構成メニューのスクリーンショット
  4. 対象となるユーザー/グループの名前または識別子を入力します。 1 つまたは複数のユーザー/グループを同時に選択できます。 [選択] をクリックします。 Azure AD Connect Health と Azure のロール一覧のスクリーンショット
  5. [OK] を選択します。
  6. ロールの割り当てが完了した後に、ユーザーとグループが一覧に表示されます。
    新しいユーザーが強調表示されている、Azure AD Connect Health と Azure RBAC のスクリーンショット

表示されているユーザーとグループは、割り当てられたロールに基づいてアクセスが許可されました。

注意

  • グローバル管理者は常にすべての操作にフル アクセスできますが、グローバル管理者のアカウントは上記のリストには表示されません。
  • "ユーザーの招待" 機能は、Azure AD Connect Health ではサポートされません。

手順 3: ブレードの場所をユーザーまたはグループと共有する

  1. アクセス許可が割り当てられた後、ユーザーはここに移動することで Azure AD Connect Health にアクセスできます。
  2. ブレードで、ブレードやブレードのさまざまな部分をダッシュボードにピン留めできます。 [ダッシュボードにピン留めする] アイコンをクリックするだけです。
    ピン アイコンが強調表示されている、Azure AD Connect Health と Azure RBAC のピン ブレードのスクリーンショット

注意

閲覧者ロールを割り当てられたユーザーは、Azure Marketplace から Azure AD Connect Health の拡張機能を取得することはできません。 このユーザーは、そのために必要な "作成" 操作を実行することができません。 ただし、このユーザーは、上記のリンクに移動してブレードにアクセスできます。 引き続き使用するために、ブレードをダッシュボードにピン留めできます。

ユーザーまたはグループを削除する

Azure AD Connect Health と Azure RBAC に追加されたユーザーまたはグループを削除することができます。 ユーザーまたはグループを右クリックして [削除] を選択するだけです。
[削除] が強調表示されている、Azure AD Connect Health と Azure RBAC のスクリーンショット

次のステップ