管理 Microsoft Entra Health
本部分介绍可通过使用 Microsoft Entra Connect Health 执行的各种操作。
启用电子邮件通知
可以对 Microsoft Entra Connect Health 服务进行配置,以便在警报指示标识基础结构运行不正常时发送电子邮件通知。 当生成并解析警报后,会发送电子邮件通知。
注意
默认情况下电子邮件通知处于启用状态。
启用 Microsoft Entra Connect Health 电子邮件通知的步骤
- 打开需要接收电子邮件通知的服务的“警报”边栏选项卡。
- 单击操作栏中的“通知设置”按钮。
- 在电子邮件通知开关处,选择“开”。
- 若要让所有全局管理员能够接收电子邮件通知,请选中该复选框。
- 若想通过任何其他电子邮件地址接收电子邮件通知,则可在“其他电子邮件收件人”框中进行指定相应邮件地址。 若要从该列表中删除电子邮件地址,可右键单击相应的条目,然后选择“删除”。
- 若要保存所做更改,请单击“保存”。 只有在保存之后,更改才会生效。
注意
如果后端服务在处理同步请求时出现问题,此服务会向租户的管理联系人电子邮件地址发送一封包含错误详细信息的通知电子邮件。 我们从客户那里听到反馈说,在某些情况下,这些消息的数量非常大,所以我们正在改变发送这些消息的方式。
我们将发送后端服务返回的所有错误的每日摘要,而不是每次发生同步错误时都发送消息。 这样,客户就能够以更有效的方式处理这些错误并减少重复的错误消息数。
删除服务器或服务实例
注意
删除步骤需要 Microsoft Entra ID 高级版许可证。
在某些情况下,可能需要从被监视的服务器中删除某个服务器。 以下是关于从 Microsoft Entra Connect Health 服务中删除服务器的说明。
删除服务器时,请注意以下事项:
- 此操作会导致再也无法从该服务器收集任何数据。 将从监视服务中删除此服务器。 执行此操作之后,将无法查看该服务器的新警报、监视数据或使用情况分析数据。
- 此操作不会从服务器中卸载 Health 代理。 如果在执行此步骤之前未卸载 Health 代理,执行此步骤时,则可能会在服务器上看到与 Health 代理相关的错误事件。
- 此操作不会删除已从该服务器上收集的数据。 将根据 Azure 数据保留策略删除该数据。
- 执行此操作后,如果要重新开始监视同一服务器,必须在此服务器上先卸载 Health 代理,然后重新安装。
从 Microsoft Entra Connect Health 服务中删除服务器
注意
删除步骤需要 Microsoft Entra ID 高级版许可证。
用于 Active Directory 联合身份验证服务 (AD FS) 的 Microsoft Entra Connect Health 和 Microsoft Entra Connect(同步):
通过选择要删除的服务器名称,从“服务器列表”边栏选项卡中打开“服务器”边栏选项卡。
在操作栏中的“服务器”边栏选项卡上,单击“删除”。
在确认框中键入服务器名称以进行确认。
单击 “删除” 。
用于 Microsoft Entra 域服务的 Microsoft Entra Connect Health:
- 打开“域控制器”仪表板。
- 选择要删除的域控制器。
- 在操作栏中,单击“删除所选项”。
- 确认删除服务器的操作。
- 单击 “删除” 。
从 Microsoft Entra Connect Health 服务中删除服务实例
在某些情况下,可能需要删除某个服务实例。 以下是关于从 Microsoft Entra Connect Health 服务中删除服务实例的说明。
删除服务实例时,请注意以下事项:
- 此操作将从监视服务中删除当前服务实例。
- 此操作不会从任何服务器中卸载或删除已作为此服务器实例的一部分进行监视的 Health 代理。 如果在执行此步骤之前未卸载 Health 代理,执行此步骤时,则可能会在服务器上看到与 Health 代理相关的错误事件。
- 将根据 Microsoft Azure 数据保留策略删除此服务实例中的所有数据。
- 执行此操作后,如果要开始监视此服务,请在所有服务器上先卸载 Health 代理,然后重新安装。 执行此操作后,如果要再次开始监视同一服务器,请先在此服务器上卸载、重新安装并注册 Health 代理。
从 Microsoft Entra Connect Health 服务中删除服务实例的步骤
通过选择要删除的服务标识符(场名称),从“服务列表”边栏选项卡中打开“服务”边栏选项卡。
在操作栏中的“服务”边栏选项卡上,单击“删除”。
在确认框中键入服务名称(例如:sts.contoso.com)以进行确认。
单击 “删除” 。
使用 Azure 基于角色的访问控制来管理访问权限
Microsoft Entra Connect Health 的 Azure 基于角色的访问控制 (Azure RBAC) 为全局管理员以外的用户和组提供访问权限。 Azure RBAC 将角色分配给目标用户和组,并提供一个机制来限制目录中的全局管理员。
角色
Microsoft Entra Connect Health 支持以下内置角色:
| 角色 | 权限 |
|---|---|
| 所有者 | 所有者可以在 Microsoft Entra Connect Health 中管理访问权限(例如将角色分配到用户或组)、从门户查看所有信息(例如查看警报信息),以及更改设置(例如设置电子邮件通知)。 默认情况下,将为 Microsoft Entra 全局管理员分配此角色,并且无法更改此角色。 |
| 参与者 | 参与者可以在 Microsoft Entra Connect Health 中从门户查看所有信息(例如查看警报信息)以及更改设置(例如设置电子邮件通知)。 |
| 读者 | 读取者可以在 Microsoft Entra Connect Health 中从门户查看所有信息(例如查看警报信息)。 |
即使可在门户体验中使用其他所有角色(例如“用户访问管理员”或“DevTest 实验室用户”),这些角色也不会对 Microsoft Entra Connect Health 中的访问权限产生影响。
访问范围
Microsoft Entra Connect Health 支持两个级别的访问管理:
- 所有服务实例:这是大多数情况下的建议路径。 它控制由 Microsoft Entra Connect Health 监视的所有角色类型的所有服务实例(例如,AD FS 场)的访问权限。
- 服务实例:在某些情况下,可能需要根据角色类型或服务实例来区分访问。 在此情况下,可以在服务实例级别管理访问。
如果最终用户有权在目录或服务实例级别访问,则会被授予权限。
允许用户或组访问 Microsoft Entra Connect Health
以下步骤显示如何允许访问。
步骤 1:选择适当的访问范围
若要允许用户访问 Microsoft Entra Connect Health 中的所有服务实例级别,请在 Microsoft Entra Connect Health 中打开主边栏选项卡。
步骤 2:添加用户和组并分配角色
在“配置”部分中,单击“用户”。
选择添加。
在“选择角色”窗格中,选择一个角色(例如“所有者”)。
键入目标用户或组的名称或标识符。 可以同时选择一个或多个用户或组。 单击“选择”。
选择“确定”。
完成角色分配后,用户和组将显示在列表中。
现在,列出的用户和组具有基于所分配角色的相应访问权限。
注意
全局管理员始终拥有所有操作的完全访问权限,但全局管理员帐户不会出现在上述列表中。
- “邀请用户”功能在 Microsoft Entra Connect Health 中不受支持。
步骤 3:与用户或组共享边栏选项卡位置
分配权限后,用户可以转到此处,访问 Microsoft Entra Connect Health。
在边栏选项卡上,用户可将边栏选项卡或卡上的其他部件固定到仪表板。 只需单击“固定到仪表板”图标。
删除用户或组
可删除已添加到 Microsoft Entra Connect Health 和 Azure RBAC 的用户或组。 只需右键单击用户或组,然后选择“删除”。
诊断并修正重复的属性同步错误
概述
为了进一步凸显同步错误,Microsoft Entra Connect Health 引入了自助式修复功能。 它可对重复的属性同步错误进行故障排除,并修复从 Microsoft Entra ID 孤立的对象。 诊断功能具有以下优势:
- 它提供诊断过程,可缩小重复的属性同步错误的范围。 并且还能提供特定的修复。
- 它可对 Microsoft Entra ID 中专有的场景应用修复,一步即可解决错误。
- 无需升级或配置即可启用此功能。
问题
常见方案
发生 QuarantinedAttributeValueMustBeUnique 和 AttributeValueMustBeUnique 同步错误时,Microsoft Entra ID 中往往会出现 UserPrincipalName 或代理地址冲突的情况。 在本地端更新有冲突的源对象即可解决同步错误。 下次同步后,同步错误将得到解决。例如,此图像表示两个用户的 UserPrincipalName 存在冲突。 两者都为 Joe.J@contoso.com。 有冲突的对象将在 Microsoft Entra ID 中隔离。
孤立的对象场景
有时,现有的用户会丢失源定位点。 源对象的删除操作发生在本地 Active Directory 中。 但删除信号的更改永远不会同步到 Microsoft Entra ID。 同步引擎出现问题或域迁移等原因会导致此类丢失。 如果还原或重新创建相同对象,则现有的用户在逻辑上应该是要从源定位点同步的用户。
现有用户为仅限云的对象时,还可以看到冲突的用户同步到 Microsoft Entra ID。 同步中的用户无法与现有对象相匹配。 没有任何一种直接方法可以重新映射源定位点。
例如,Microsoft Entra ID 中的现有对象会保留 Joe 的许可证。 具有不同源定位点的新同步对象以重复的属性状态出现在 Microsoft Entra ID 中。 在本地 Active Directory 中对 Joe 所做的更改无法应用到 Joe 在 Microsoft Entra ID 中的原始用户(现有对象)。
Connect Health 中的诊断和故障排除步骤
诊断功能支持具有以下重复属性的用户对象:
| 属性名 | 同步错误类型 |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
重要
若要访问此功能,需要全局管理员权限或 Azure RBAC 的参与者权限。
在 Azure 门户中遵循以下步骤,可以在同步错误详细信息中缩小诊断范围,并提供更具体的解决方法:
在 Azure 门户中,可以采取几个步骤来识别具体的可修复场景:
检查“诊断状态”列。 状态显示是否还有一种可能的方式,直接从 Microsoft Entra ID 修复同步错误。 换而言之,故障排除流的存在可以缩小错误产生的情况并可能修复此错误。
状态 它意味着什么? 未启动 尚未访问此诊断过程。 根据诊断结果,有潜在可行的方法可以直接从门户修复同步错误。 需要手动修复 该错误不符合从门户修复的条件。 有冲突的对象类型不是用户,或者已完成诊断步骤,但没有可从门户实施的解决方法。 后一种情况下,从本地端修复仍是解决方法之一。 等待同步 已应用修复程序。 门户正在等待下一个同步周期以清除错误。 在错误详细信息下选择“诊断”按钮。 需回答几个问题,确定同步错误的详细信息。 问题的答案有助于识别孤立对象的原因。
如果结束诊断时出现“关闭”按钮,则表示根据回答,没有可从门户实施的快速解决方法。 请参考最后一个步骤中显示的解决方法。 从本地端修复仍是一种解决方法。 选择“关闭”按钮。 当前同步错误的状态将切换为“需要手动修复”。 当前的同步周期内,状态将保持不变。
识别孤立对象的原因后,可以直接从门户解决重复的属性同步错误。 选择“应用修复”按钮触发该过程。 当前同步错误的状态将更新为“等待同步”。
下一个同步周期后,该错误应会从列表中删除。