Microsoft Entra Health 관리
이 섹션에서는 Microsoft Entra Connect Health를 사용하여 수행할 수 있는 다양한 작업에 대해 설명합니다.
메일 알림 사용
ID 인프라가 정상적이지 않다는 경고가 나타날 때 이메일 경고를 보내도록 Microsoft Entra Connect Health 서비스를 구성할 수 있습니다. 이 작업은 경고가 생성된 경우 및 해결된 경우에 수행됩니다.
참고 항목
메일 알림은 기본적으로 사용됩니다.
Microsoft Entra Connect Health 이메일 알림을 사용하도록 설정하려면
- 메일 알림을 받으려는 서비스의 경고 블레이드를 엽니다.
- 작업 모음에서 알림 설정을 클릭합니다.
- 메일 알림 스위치에서 켜기를 선택합니다.
- 모든 전역 관리자가 메일 알림을 수신하도록 하려는 경우 확인란을 선택합니다.
- 다른 메일 주소로 메일 알림을 받으려는 경우 추가 메일 받는 사람 상자에 주소를 지정합니다. 이 목록에서 메일 주소를 제거하려면 항목을 마우스 오른쪽 단추로 클릭하고 삭제를 선택합니다.
- 변경을 완료하려면 저장을 클릭합니다. 변경 내용은 저장한 후에만 적용됩니다.
참고
백 엔드 서비스에서 동기화 요청을 처리하는 데 문제가 있는 경우 이 서비스는 오류에 대한 세부 정보가 포함된 알림 메일을 테넌트의 관리 담당자 메일 주소로 보냅니다. 특정한 경우에 이러한 메시지 볼륨이 너무 커진다는 고객의 의견을 들었기 때문에 이러한 메시지를 전송하는 방식을 변경 중입니다.
동기화 오류가 발생할 때마다 모든 동기화 오류에 대한 메시지를 전송하는 대신 백 엔드 서비스에서 반환된 모든 오류에 대한 일일 다이제스트를 전송해 드립니다. 이렇게 하면 고객은 보다 효율적인 방식으로 이러한 오류를 처리하고 중복된 오류 메시지 수를 줄일 수 있습니다.
서버 또는 서비스 인스턴스 삭제
참고 항목
Microsoft Entra ID 프리미엄 라이선스는 삭제 단계에 필요합니다.
서버를 모니터링 대상에서 제거하려는 경우도 있습니다. Microsoft Entra Connect Health 서비스에서 서버를 제거하기 위해 알아야 할 사항은 다음과 같습니다.
서버를 삭제하는 경우 다음 사항에 유의하세요.
- 이 작업을 수행하면 해당 서버에서 추가 데이터 수집이 중지됩니다. 모니터링 서비스에서 이 서버가 제거됩니다. 이 작업을 수행한 후에는 이 서버에 대한 새 경고나 모니터링 데이터, 사용량 현황 분석 데이터를 볼 수 없습니다.
- 이 작업을 수행해도 서버에서 Health Agent가 제거되지는 않습니다. 이 단계를 수행하기 전에 Health Agent를 제거하지 않은 경우 서버의 Health Agent와 관련된 오류가 표시될 수도 있습니다.
- 이 작업을 수행해도 이 서버에서 이미 수집된 데이터는 삭제되지 않습니다. 해당 데이터는 Azure 데이터 보존 정책에 따라 삭제됩니다.
- 이 작업을 수행한 후 동일한 서버를 다시 모니터링하려는 경우 이 서버에서 Health Agent를 제거한 후 다시 설치해야 합니다.
Microsoft Entra Connect Health 서비스에서 서버 삭제
참고 항목
Microsoft Entra ID 프리미엄 라이선스는 삭제 단계에 필요합니다.
AD FS(Active Directory Federation Services)용 Microsoft Entra Connect Health 및 Microsoft Entra Connect(동기화):
서버 목록 블레이드에서 제거할 서버 이름을 선택하여 서버 블레이드를 엽니다.
서버 블레이드의 작업 모음에서 삭제를 클릭합니다.
확인 상자에 서버 이름을 입력하여 확인합니다.
삭제를 클릭합니다.
Microsoft Entra 도메인 서비스에 대한 Microsoft Entra Connect Health:
- 도메인 컨트롤러 대시보드를 엽니다.
- 제거할 도메인 컨트롤러를 선택합니다.
- 작업 모음에서 선택한 항목 삭제를 클릭합니다.
- 서버 삭제 작업을 확인합니다.
- 삭제를 클릭합니다.
Microsoft Entra Connect Health 서비스에서 서비스 인스턴스 삭제
서비스 인스턴스를 제거하려는 경우도 있습니다. Microsoft Entra Connect Health 서비스에서 서비스 인스턴스를 제거하기 위해 알아야 할 사항은 다음과 같습니다.
서비스 인스턴스를 삭제하는 경우 다음 사항에 유의하세요.
- 이 작업을 수행하면 현재 서비스 인스턴스가 모니터링 서비스에서 제거됩니다.
- 이 작업을 수행해도 이 서비스 인스턴스의 일부로 모니터링된 서버에서 Health Agent가 제거되지는 않습니다. 이 단계를 수행하기 전에 Health Agent를 제거하지 않은 경우 서버의 Health Agent와 관련된 오류가 표시될 수도 있습니다.
- 이 서비스 인스턴스의 모든 데이터는 Azure 데이터 보존 정책에 따라 삭제됩니다.
- 이 작업을 수행한 후 서비스를 모니터링하려는 경우 모든 서버에서 Health Agent를 제거한 후 다시 설치합니다. 이 작업을 수행한 후 동일한 서버를 다시 모니터링하려는 경우 해당 서버에서 Health Agent를 제거한 후 다시 설치하고 등록합니다.
Microsoft Entra Connect Health 서비스에서 서비스 인스턴스를 삭제하려면
서비스 목록 블레이드에서 제거하려는 서비스 식별자(팜 이름)를 선택하여 서비스 블레이드를 엽니다.
서비스 블레이드의 작업 모음에서 삭제를 클릭합니다.
확인 상자에 서비스 이름(예: sts.contoso.com)을 입력하여 확인합니다.
삭제를 클릭합니다.
Azure 역할 기반 액세스 제어로 액세스 관리
Microsoft Entra Connect Health에 대한 Azure RBAC(Azure 역할 기반 액세스 제어)는 전역 관리자가 아닌 사용자 및 그룹에 대한 액세스를 제공합니다. Azure RBAC는 의도된 사용자 및 그룹에 역할을 할당하고 디렉터리 내에서 전역 관리자를 제한하는 메커니즘을 제공합니다.
역할
Microsoft Entra Connect Health는 다음과 같은 기본 제공 역할을 지원합니다.
| 역할 | 권한 |
|---|---|
| 소유자 | 소유자는 액세스를 관리(예: 사용자 또는 그룹에 역할 할당)하고, 포털에서 모든 정보를 확인(예: 경고 보기)하며, Microsoft Entra Connect Health 내에서 설정을 변경(예: 메일 알림)할 수 있습니다. 기본적으로 Microsoft Entra 전역 관리자에게 이 역할이 할당되며, 이 설정은 변경할 수 없습니다. |
| 참가자 | 기여자는 포털에서 모든 정보를 보고(예: 경고 보기) Microsoft Entra Connect Health 내에서 설정을 변경(예: 이메일 경고)할 수 있습니다. |
| 판독기 | 읽기 권한자는 Microsoft Entra Connect Health 내의 포털에서 모든 정보를 볼 수 있습니다(예: 경고 보기). |
다른 모든 역할(예: 사용자 액세스 관리자 또는 DevTest Labs 사용자)은 포털 환경에서 해당 역할을 사용할 수 있더라도 Microsoft Entra Connect Health 내 액세스에 영향을 미치지 않습니다.
액세스 범위
Microsoft Entra Connect Health는 다음 두 가지 수준에서 액세스 관리를 지원합니다.
- 모든 서비스 인스턴스: 대부분의 경우에서 권장되는 경로입니다. Microsoft Entra Connect Health에서 모니터링하는 모든 역할 형식에 걸쳐 모든 서비스 인스턴스(예: AD FS 팜)에 대한 액세스를 제어합니다.
- 서비스 인스턴스: 역할 유형에 따라 또는 서비스 인스턴스별로 액세스를 분리해야 하는 경우도 있습니다. 이 경우 서비스 인스턴스 수준에서 액세스를 관리할 수 있습니다.
사용 권한은 최종 사용자가 디렉터리 또는 서비스 인스턴스 수준에서 액세스 권한을 가진 경우에 부여됩니다.
사용자 또는 그룹이 Microsoft Entra Connect Health에 액세스하도록 허용
다음 단계에서는 액세스를 허용하는 방법을 보여 줍니다.
1단계: 적절한 액세스 범위 선택
Microsoft Entra Connect Health 내의 모든 서비스 인스턴스 수준에서 사용자 액세스를 허용하려면 Microsoft Entra Connect Health에서 기본 블레이드를 엽니다.
2단계: 사용자 및 그룹 추가, 역할 할당
구성 섹션에서 사용자를 클릭합니다.
추가를 선택합니다.
역할 선택 창에서 역할(예: 소유자)을 선택합니다.
사용자 또는 그룹을 대상으로 한 이름 또는 식별자를 입력합니다. 동시에 하나 이상의 사용자 또는 그룹을 선택할 수 있습니다. 선택을 클릭합니다.
확인을 선택합니다.
역할 할당이 완료되면 사용자 및 그룹이 목록에 표시됩니다.
이제 할당된 역할에 따라 나열된 사용자 및 그룹에 액세스 권한이 있습니다.
참고
전역 관리자는 항상 모든 작업에 대한 모든 권한을 갖지만 전역 권리자 계정은 앞의 목록에 표시되지 않습니다.
- 사용자 초대 기능은 Microsoft Entra Connect Health 내에서 지원되지 않습니다.
3단계: 사용자 또는 그룹을 사용하여 블레이드 위치 공유
권한을 할당한 후 사용자는 여기로 이동하여 Microsoft Entra Connect Health에 액세스할 수 있습니다.
블레이드에서 사용자는 블레이드 또는 블레이드의 서로 다른 부분을 대시보드에 고정할 수 있습니다. 대시보드에 고정 아이콘을 클릭하면 됩니다.
사용자 또는 그룹 제거
Microsoft Entra Connect Health 및 Azure RBAC에 추가된 사용자 또는 그룹을 제거할 수 있습니다. 사용자 또는 그룹을 마우스 오른쪽 단추로 클릭하고 제거를 선택하면 됩니다.
중복된 특성 동기화 오류 진단 및 수정
개요
Microsoft Entra Connect Health는 동기화 오류를 강조 표시하기 위해 한 단계 더 나아가 셀프 서비스 수정 기능을 도입했습니다. 중복된 특성 동기화 오류 문제를 해결하고 Microsoft Entra ID에서 분리된 개체를 수정합니다. 이 진단 기능은 다음과 같은 장점이 있습니다.
- 중복된 특성 동기화 오류의 범위를 좁히는 진단 프로시저를 제공합니다. 관련 픽스를 제공합니다.
- Microsoft Entra ID의 전용 시나리오에 대한 수정 사항을 적용하여 단일 단계로 오류를 해결합니다.
- 이 기능을 사용하기위 해 업그레이드 또는 구성이 필요하지 않습니다.
문제
일반적인 시나리오
QuarantinedAttributeValueMustBeUnique 및 AttributeValueMustBeUnique 동기화 오류가 발생하면 Microsoft Entra ID에서 UserPrincipalName 또는 프록시 주소 충돌이 발생하는 것이 일반적입니다. 온-프레미스 쪽에서 충돌하는 원본 개체를 업데이트하여 동기화 오류를 해결할 수 있습니다. 동기화 오류는 다음 동기화 이후에 해결됩니다. 예를 들면 다음 이미지는 두 사용자의 UserPrincipalName이 충돌함을 나타냅니다. 두 사용자 모두 Joe.J@contoso.com입니다. 충돌하는 개체는 Microsoft Entra ID에 격리됩니다.
분리된 개체 시나리오
때때로 기존 사용자가 원본 앵커를 잃을 수 있습니다. 원본 개체 삭제는 온-프레미스 Active Directory에서 발생했습니다. 하지만 삭제 신호 변경이 Microsoft Entra ID에 동기화되지 않았습니다. 동기화 엔진 문제 또는 도메인 마이그레이션 같은 이유로 이 손실이 발생합니다. 동일한 개체가 복원되거나 다시 생성되는 경우 논리적으로 기존 사용자는 원본 앵커로부터 동기화하는 사용자여야 합니다.
기존 사용자가 클라우드 전용 개체인 경우 Microsoft Entra ID에 동기화된 충돌 사용자도 확인할 수 있습니다. 이 사용자는 기존 개체와 동기화할 수 없습니다. 원본 앵커를 다시 매핑하는 직접적인 방법은 없습니다.
예를 들어, Microsoft Entra ID의 기존 개체에는 Joe의 라이선스가 유지됩니다. 다른 원본 앵커를 사용하여 새로 동기화된 개체는 Microsoft Entra ID의 중복된 특성 상태에서 발생합니다. 온-프레미스 Active Directory에서 Joe에 대한 변경 내용은 Microsoft Entra ID에 있는 Joe의 원래 사용자(기존 개체)에 적용되지 않습니다.
Connect Health의 진단 및 문제 해결 단계
진단 기능은 다음과 같은 중복 특성이 있는 사용자 개체를 지원합니다.
| 특성 이름 | 동기화 오류 유형 |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique 또는 AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique 또는 AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
중요
이 기능에 액세스하려면 Azure RBAC의 전역 관리자 권한 또는 참가자 권한이 필요합니다.
Azure Portal의 단계에 따라 동기화 오류 세부 정보 범위를 좁히고 좀 더 구체적인 솔루션을 제공하세요.
Azure Portal에서 몇 가지 단계를 수행하여 수정 가능한 시나리오를 식별합니다.
상태 진단 열을 확인합니다. Microsoft Entra ID에서 직접 동기화 오류를 수정할 수 있는 방법이 있는지 상태가 표시됩니다. 즉, 오류 사례 범위를 좁히고 오류를 해결할 수 있는 문제 해결 흐름이 있습니다.
상태 무엇을 의미하나요? 시작 안함 이 진단 프로세스를 방문하지 않았습니다. 진단 결과에 따라 포털에서 바로 동기화 오류를 해결하는 방법이 있습니다. 수동 수정 필요 이 오류는 포털에서 사용할 수 있는 수정 기준에 맞지 않습니다. 충돌하는 개체 형식이 사용자가 아니거나, 이미 진단 단계를 진행했지만 포털에서 사용할 수 있는 해결 방법이 없습니다. 후자에 속하는 경우 온-프레미스 쪽에서의 수정은 여전히 솔루션 중 하나입니다. 동기화 보류 중 수정이 적용되었습니다. 그 다음 동기화 주기에서 오류가 수정될 때까지 포털이 대기 중입니다. 오류 세부 정보 아래에서 진단 단추를 선택하세요. 그리고 몇 가지 질문에 답변하고 동기화 오류 세부 정보를 식별합니다. 질문에 답하여 분리된 개체 사례를 식별할 수 있습니다.
진단 마지막에 닫기 단추가 표시되면 사용자의 답변에 따라 포털에서 사용할 수 있는 빠른 수정이 없습니다. 마지막 단계에 표시된 솔루션을 참조하세요. 여전히 온-프레미스에서 수정할 수 있습니다. 닫기 단추를 선택하세요. 현재 동기화 오류 상태가 수동 수정 필요로 전환됩니다. 현재 동기화 주기가 끝날 때까지 상태가 유지됩니다.
분리된 개체 사례가 식별되면 포털에서 바로 중복된 특성 동기화 오류를 해결할 수 있습니다. 프로세스를 트리거하려면 해결 적용 단추를 클릭합니다. 현재 동기화 오류 상태가 동기화 보류 중으로 업데이트됩니다.
그 다음 동기화 주기가 완료되면 목록에서 오류가 제거됩니다.