Microsoft Entra Connect Health 作業
本主題描述您可以使用 Microsoft Entra Connect Health 執行的各種作業。
啟用電子郵件通知
您可以對 Microsoft Entra Connect Health 服務進行設定,使該服務在有警示指出您的身分識別基礎結構健康情況不良時傳送電子郵件通知。 這會在警示產生及解決時發生。
注意
電子郵件通知為預設啟用。
啟用 Microsoft Entra Connect Health 電子郵件通知
- 在 Microsoft Entra 系統管理中心中,搜尋 Microsoft Entra Connect Health
- 選取 [同步錯誤]
- 選取 [通知設定]。
- 在電子郵件通知開關上,選取 [開啟]。
- 如果要讓所有混合式身分識別管理員都接收電子郵件通知,請選取此核取方塊。
- 如果您想要在任何其他電子郵件地址接收電子郵件通知,請在 [其他電子郵件收件者] 方塊中指定這些電子郵件地址。 若要從此清單中移除電子郵件地址,請以滑鼠右鍵按一下項目,然後選取 [刪除]。
- 若要完成變更,請按一下 [儲存]。 只有在您儲存之後,變更才會生效。
注意
當您在後端服務中處理同步處理要求時發生問題,此服務會將內含錯誤詳細資料的通知電子郵件傳送給您租用戶的管理連絡人電子郵件地址。 我們聽見客戶的意見反應,在某些情況下,這些訊息的數量非常龐大,因此我們將變更傳送這些訊息的方式。
我們將會每天傳送後端服務傳回的所有錯誤訊息摘要,而不是每次發生同步處理錯誤時傳送訊息。 同步錯誤電子郵件會根據前一天的未解決錯誤,每天傳送一次。 因此,如果客戶觸發錯誤,但很快就加以解決,則不會在次日收到電子郵件。 如此一來,客戶就能以更有效率的方式來處理這些錯誤,並減少重複錯誤訊息的數量。
刪除伺服器或服務執行個體
注意
刪除步驟需要 Microsoft Entra ID P1 或 P2 授權。
在某些情況下,建議您將伺服器從監視中移除。 以下是您要從 Microsoft Entra Connect Health 服務移除伺服器需要知道的內容。
當您要刪除伺服器時,請注意下列事項:
- 此動作會停止從該伺服器收集任何進一步的資料。 此伺服器會從監視服務中移除。 在此動作之後,您無法檢視此伺服器的新警示、監視或使用量分析資料。
- 此動作不會從您的伺服器解除安裝健康情況代理程式。 如果您在執行此步驟之前尚未解除安裝健康情況代理程式,您可能會在伺服器上看到與健康情況代理程式相關的錯誤。
- 此動作不會刪除已從此伺服器收集到的資料。 該資料會依照 Azure 資料保留原則刪除。
- 執行這項動作之後,如果想要再度開始監視相同的伺服器,您必須在這部伺服器上先解除安裝健康情況代理程式,然後再重新安裝。
從 Microsoft Entra Connect Health 服務中刪除伺服器
注意
刪除步驟需要 Microsoft Entra ID P1 或 P2 授權。
適用於 for Active Directory 同盟服務 (AD FS) 和 Microsoft Entra 連線 (Sync) 的 Microsoft Entra Connect Health:
- 在 [伺服器清單] 刀鋒視窗中,選取要移除的伺服器名稱來開啟 [伺服器] 刀鋒視窗。
- 在 [伺服器] 刀鋒視窗中,按一下動作列上的 [刪除]。
- 在確認方塊中鍵入伺服器名稱來確認。
- 按一下刪除。
適用於 AD Domain Services 的 Microsoft Entra Connect Health:
- 開啟 [網域控制站] 儀表板。
- 選取要移除的網域控制站。
- 按一下動作列上的 [刪除已選取項目]。
- 確認刪除伺服器的動作。
- 按一下刪除。
從 Microsoft Entra Connect Health 服務刪除服務執行個體
在某些情況下,建議您移除服務執行個體。 以下是您要從 Microsoft Entra Connect Health 服務移除服務執行個體需要知道的內容。
當您要刪除服務執行個體時,請注意下列事項:
- 這個動作會從監視服務中移除目前的服務執行個體。
- 這個動作不會將健康情況代理程式從此服務執行個體所監視的任何伺服器解除安裝或移除。 如果您在執行此步驟之前尚未解除安裝健康情況代理程式,您可能會在伺服器上看到與健康情況代理程式相關的錯誤。
- 在這個服務執行個體上的所有資料會依照 Azure 資料保留原則刪除。
- 執行這項動作之後,如果您想要開始監視該服務,請先在所有伺服器上解除安裝再重新安裝健康情況代理程式。 執行這項動作之後,如果想要再度開始監視相同的伺服器,在此伺服器上先解除安裝健康情況代理程式,再重新安裝並註冊。
從 Microsoft Entra Connect Health 服務刪除服務執行個體
- 在 [服務清單] 刀鋒視窗中,選取要移除的服務身分識別 (陣列名稱) 來開啟 [服務] 刀鋒視窗。
- 在 [服務] 刀鋒視窗中,按一下動作列上的 [刪除]。
- 在確認方塊中輸入服務名稱來確認 (例如:sts.contoso.com)。
- 按一下刪除。
使用 Azure RBAC 管理存取權
適用於 Microsoft Entra Connect Health 的 Azure 角色型存取控制 (Azure RBAC) 為使用者和群組 (而非混合式身分識別管理員) 提供存取權。 Azure RBAC 會將角色指派給預定的使用者和群組,並提供機制來限制您目錄內的混合式身分識別管理員。
角色
Microsoft Entra Connect Health 支援下列內建角色:
| 角色 | 權限 |
|---|---|
| 負責人 | 擁有者可以在 Microsoft Entra Connect Health 內管理存取 (例如將角色指派給使用者或群組)、檢視入口網站中的所有資訊 (例如檢視警示),以及變更設定 (例如電子郵件通知)。 預設會指派此角色給 Microsoft Entra 混合式身分識別管理員,而且無法變更。 |
| 參與者 | 參與者可以在 Microsoft Entra Connect Health 內檢視入口網站中的所有資訊 (例如檢視警示),以及變更設定 (例如電子郵件通知)。 |
| 讀取者 | 讀者可以從 Microsoft Entra Connect Health 內的入口網站檢視所有資訊 (例如檢視警示)。 |
所有其他角色 (例如使用者存取系統管理員或 DevTest Labs 使用者) 都不會影響 Microsoft Entra Connect Health 內的存取權,即使這些角色可在入口網站體驗中使用也一樣。
存取範圍
Microsoft Entra Connect Health 支援在兩個層級管理存取:
- 所有服務執行個體:這是在大多數情況下建議的路徑。 其會為由 Microsoft Entra Connect Health 所監視之所有角色類型的所有服務執行個體 (如 AD FS 陣列) 控制存取權。
- 服務執行個體:在某些情況下,您可能需要根據角色類型或服務執行個體來隔離存取權。 在此情況下,您可以在服務執行個體層級管理存取權。
如果終端使用者具有目錄或服務執行個體層級的存取權,則會授與權限。
允許使用者或群組存取 Microsoft Entra Connect Health
下列步驟將說明如何授與存取。
步驟 1:選取適當的存取範圍
若要允許使用者在 Microsoft Entra Connect Health內的所有服務執行個體層級存取,在 Microsoft Entra Connect Health 中開啟主要刀鋒視窗。
步驟 2:新增使用者和群組,並指派角色
- 從 [設定] 區段中,按一下 [使用者]。
- 選取 [新增]。
- 在 [選取角色] 窗格中,選取角色 (例如 [擁有者])。
- 鍵入目標使用者或群組的名稱或識別碼。 您可以同時選取一或多個使用者或群組。 按一下 [選取]。
- 選取 [確定]。
- 在角色指派完成後,使用者和群組會出現在清單中。
現在列出的使用者和群組會根據其指派的角色獲得存取權。
注意
- 全域管理員一律具有所有作業的完整存取,但全域管理員帳戶不會出現在上述清單中。
- Microsoft Entra Connect Health 中不支援邀請使用者功能。
步驟 3:與使用者或群組共用刀鋒視窗位置
- 在您指派權限之後,使用者可以前往這裡存取 Microsoft Entra Connect Health。
- 在刀鋒視窗上,使用者可以將刀鋒視窗或其中的不同部分釘選到儀表板。 只要按一下釘選到儀表板圖示即可。
注意
獲指派「讀者」角色的使用者無法從 Azure Marketplace 取得 Microsoft Entra Connect Health 擴充。 此使用者無法執行必要的「建立」作業來這麼做。 此使用者仍可前往上述連結以存取刀鋒視窗。 為方便之後使用,使用者可以將刀鋒視窗釘選到儀表板。
移除使用者或群組
您可以移除新增至 Microsoft Entra Connect Health 和 Azure RBAC 的使用者或群組。 只要在使用者或群組上按一下滑鼠右鍵,然後選取 [移除]。
![螢幕擷取畫面,其中顯示 Microsoft Entra Connect Health 和 Azure RBAC (已醒目提示 [移除])](media/how-to-connect-health-operations/rbac_remove.png)