管理 Microsoft Entra Health
本章節會說明您可以使用 Microsoft Entra Connect Health 來執行的各種作業。
啟用電子郵件通知
您可以對 Microsoft Entra Connect Health 服務進行設定,使該服務在有警示指出您的身分識別基礎結構健康情況不良時傳送電子郵件通知。 這會在警示產生及解決時發生。
注意
電子郵件通知為預設啟用。
啟用 Microsoft Entra Connect Health 電子郵件通知
- 開啟您要接收電子郵件通知之服務的 [警示] 刀鋒視窗。
- 按一下動作列上的 [通知設定]。
- 在電子郵件通知開關上,選取 [開啟]。
- 如果您想要所有全域管理員都接收電子郵件通知,請選取核取方塊。
- 如果您想要在任何其他電子郵件地址接收電子郵件通知,請在 [其他電子郵件收件者] 方塊中指定這些電子郵件地址。 若要從此清單中移除電子郵件地址,請以滑鼠右鍵按一下項目,然後選取 [刪除]。
- 若要完成變更,請按一下 [儲存]。 只有在您儲存之後,變更才會生效。
注意
當您在後端服務中處理同步處理要求時發生問題,此服務會將內含錯誤詳細資料的通知電子郵件傳送給您租用戶的管理連絡人電子郵件地址。 我們聽見客戶的意見反應,在某些情況下,這些訊息的數量非常龐大,因此我們將變更傳送這些訊息的方式。
我們將會每天傳送後端服務傳回的所有錯誤訊息摘要,而不是每次發生同步處理錯誤時傳送訊息。 如此一來,客戶就能以更有效率的方式來處理這些錯誤,並減少重複錯誤訊息的數量。
刪除伺服器或服務執行個體
注意
刪除步驟需要 Microsoft Entra ID 進階授權。
在某些情況下,建議您將伺服器從監視中移除。 以下是您要從 Microsoft Entra Connect Health 服務移除伺服器需要知道的內容。
當您要刪除伺服器時,請注意下列事項:
- 此動作會停止從該伺服器收集任何進一步的資料。 此伺服器會從監視服務中移除。 在此動作之後,您無法檢視此伺服器的新警示、監視或使用量分析資料。
- 此動作不會從您的伺服器解除安裝健康情況代理程式。 如果您在執行此步驟之前尚未解除安裝健康情況代理程式,您可能會在伺服器上看到與健康情況代理程式相關的錯誤。
- 此動作不會刪除已從此伺服器收集到的資料。 該資料會依照 Azure 資料保留原則刪除。
- 執行這項動作之後,如果想要再度開始監視相同的伺服器,您必須在這部伺服器上先解除安裝健康情況代理程式,然後再重新安裝。
從 Microsoft Entra Connect Health 服務中刪除伺服器
注意
刪除步驟需要 Microsoft Entra ID 進階授權。
適用於 for Active Directory 同盟服務 (AD FS) 和 Microsoft Entra 連線 (Sync) 的 Microsoft Entra Connect Health:
在 [伺服器清單] 刀鋒視窗中,選取要移除的伺服器名稱來開啟 [伺服器] 刀鋒視窗。
在 [伺服器] 刀鋒視窗中,按一下動作列上的 [刪除]。
在確認方塊中鍵入伺服器名稱來確認。
按一下刪除。
適用於 Microsoft Entra Domain Services 的 Microsoft Entra Connect Health:
- 開啟 [網域控制站] 儀表板。
- 選取要移除的網域控制站。
- 按一下動作列上的 [刪除已選取項目]。
- 確認刪除伺服器的動作。
- 按一下刪除。
從 Microsoft Entra Connect Health 服務刪除服務執行個體
在某些情況下,建議您移除服務執行個體。 以下是您要從 Microsoft Entra Connect Health 服務移除服務執行個體需要知道的內容。
當您要刪除服務執行個體時,請注意下列事項:
- 這個動作會從監視服務中移除目前的服務執行個體。
- 這個動作不會將健康情況代理程式從此服務執行個體所監視的任何伺服器解除安裝或移除。 如果您在執行此步驟之前尚未解除安裝健康情況代理程式,您可能會在伺服器上看到與健康情況代理程式相關的錯誤。
- 在這個服務執行個體上的所有資料會依照 Azure 資料保留原則刪除。
- 執行這項動作之後,如果您想要開始監視該服務,請先在所有伺服器上解除安裝再重新安裝健康情況代理程式。 執行這項動作之後,如果想要再度開始監視相同的伺服器,在此伺服器上先解除安裝健康情況代理程式,再重新安裝並註冊。
從 Microsoft Entra Connect Health 服務刪除服務執行個體
在 [服務清單] 刀鋒視窗中,選取要移除的服務身分識別 (陣列名稱) 來開啟 [服務] 刀鋒視窗。
在 [服務] 刀鋒視窗中,按一下動作列上的 [刪除]。
在確認方塊中輸入服務名稱來確認 (例如:sts.contoso.com)。
按一下刪除。
使用 Azure 角色型存取控制管理存取權
適用於 Microsoft Entra Connect Health 的 Azure 角色型存取控制 (Azure RBAC) 為使用者和群組提供存取權,而非全域管理員。 Azure RBAC 會將角色指派給預定的使用者和群組,並提供機制來限制您目錄內的全域管理員。
角色
Microsoft Entra Connect Health 支援下列內建角色:
| 角色 | 權限 |
|---|---|
| 負責人 | 擁有者可以在 Microsoft Entra Connect Health 內管理存取 (例如將角色指派給使用者或群組)、檢視入口網站中的所有資訊 (例如檢視警示),以及變更設定 (例如電子郵件通知)。 根據預設,Microsoft Entra 全域管理員會獲指派此角色,且無法變更這點。 |
| 參與者 | 參與者可以在 Microsoft Entra Connect Health 內檢視入口網站中的所有資訊 (例如檢視警示),以及變更設定 (例如電子郵件通知)。 |
| 讀取者 | 讀者可以從 Microsoft Entra Connect Health 內的入口網站檢視所有資訊 (例如檢視警示)。 |
所有其他角色 (例如使用者存取系統管理員或 DevTest Labs 使用者) 都不會影響 Microsoft Entra Connect Health 內的存取權,即使這些角色可在入口網站體驗中使用也一樣。
存取範圍
Microsoft Entra Connect Health 支援在兩個層級管理存取:
- 所有服務執行個體:這是在大多數情況下建議的路徑。 其會為由 Microsoft Entra Connect Health 所監視之所有角色類型的所有服務執行個體 (如 AD FS 陣列) 控制存取權。
- 服務執行個體:在某些情況下,您可能需要根據角色類型或服務執行個體來隔離存取權。 在此情況下,您可以在服務執行個體層級管理存取權。
如果終端使用者具有目錄或服務執行個體層級的存取權,則會授與權限。
允許使用者或群組存取 Microsoft Entra Connect Health
下列步驟將說明如何授與存取。
步驟 1:選取適當的存取範圍
若要允許使用者在 Microsoft Entra Connect Health內的所有服務執行個體層級存取,在 Microsoft Entra Connect Health 中開啟主要刀鋒視窗。
步驟 2:新增使用者和群組,並指派角色
從 [設定] 區段中,按一下 [使用者]。
選取新增。
在 [選取角色] 窗格中,選取角色 (例如 [擁有者])。
鍵入目標使用者或群組的名稱或識別碼。 您可以同時選取一或多個使用者或群組。 按一下 [選取]。
選取 [確定]。
在角色指派完成後,使用者和群組會出現在清單中。
現在列出的使用者和群組會根據其指派的角色獲得存取權。
注意
全域管理員一律具有所有作業的完整存取權,但上述清單中沒有全域管理員帳戶。
- Microsoft Entra Connect Health 中不支援邀請使用者功能。
步驟 3:與使用者或群組共用刀鋒視窗位置
在您指派權限之後,使用者可以前往這裡存取 Microsoft Entra Connect Health。
在刀鋒視窗上,使用者可以將刀鋒視窗或其中的不同部分釘選到儀表板。 只要按一下釘選到儀表板圖示即可。
移除使用者或群組
您可以移除新增至 Microsoft Entra Connect Health 和 Azure RBAC 的使用者或群組。 只要在使用者或群組上按一下滑鼠右鍵,然後選取 [移除]。
診斷和補救重複的屬性同步錯誤
概觀
為了進一步醒目提示同步錯誤,Microsoft Entra Connect Health 會引進自助式補救。 它會針對重複的屬性同步錯誤進行疑難排解,並修正從 Microsoft Entra ID 孤立的物件。 診斷功能具有下列優點:
- 它提供可縮小重複屬性同步錯誤的診斷程序, 並提供特定修正。
- 它會為 Microsoft Entra ID 中的專用案例套用修正,並透過一個步驟解決錯誤。
- 啟用這項功能不需要升級或設定。
問題
常見案例
當 QuarantinedAttributeValueMustBeUnique 和 AttributeValueMustBeUnique 同步錯誤發生時,通常會在 Microsoft Entra ID 中看到 UserPrincipalName 或 Proxy 位址衝突。 您可以透過從內部部署端更新衝突的來源物件來解決同步錯誤。 同步處理錯誤將會在下一次同步處理之後解決。例如,此影像表示兩位使用者的 UserPrincipalName 發生衝突。 兩者都是 Joe.J@contoso.com。 衝突的物件會在 Microsoft Entra ID 中隔離。
孤立的物件案例
您偶爾可能會發現現有的使用者遺失來源錨點。 內部部署 Active Directory 中發生來源物件刪除事件。 但是刪除訊號的變更一律不會同步處理至 Microsoft Entra ID。 發生此遺失通常是因為同步引擎問題或網域移轉所致。 當相同的物件獲得復原或重新建立時,邏輯上,現有的使用者應該會是從來源錨點進行同步的使用者。
當現有的使用者是僅限雲端的物件時,您也可以看到同步處理至 Microsoft Entra ID 的衝突使用者。 使用者無法符合同步至現有的物件。 沒有直接重新對應來源錨點的方式。
例如,Microsoft Entra ID 中的現有物件會保留 Joe 的授權。 具備不同來源錨點的新同步處理物件發生於 Microsoft Entra ID 中的重複屬性狀態。 內部部署 Active Directory 中 Joe 的變更不會套用至 Microsoft Entra ID 中 Joe 的原始使用者 (現有物件)。
Connect Health 中的診斷和疑難排解步驟
診斷功能支援具有下列重複屬性的使用者物件:
| 屬性名稱 | 同步處理錯誤類型 |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
重要
若要存取此功能,需要有 Azure RBAC 的全域系統管理員權限,或參與者權限。
遵循 Azure 入口網站中的步驟來縮小同步錯誤詳細資料,並提供更具體的解決方案:
從 Azure 入口網站中採取幾個步驟來識別特定的可修正案例:
檢查 [診斷狀態] 資料行。 狀態會顯示是否有可直接從 Microsoft Entra ID 修正同步處理錯誤的方式。 換句話說,疑難排解流程可以縮小錯誤案例,並可能加以修正。
狀態 這代表什麼? 未啟動 您尚未瀏覽此診斷流程。 根據診斷結果,有一種潛在解決方法可以直接從入口網站修正同步處理錯誤。 需要手動修正 錯誤不符合入口網站中可用修正的準則。 衝突的物件類型不是使用者,或者您已經完成診斷步驟,而且入口網站中沒有可用的修正解決方案。 在後者的情況下,來自內部部署端的修正仍然是其中一個解決方案。 待同步 已套用修正。 入口網站正在等候下一個同步週期來清除錯誤。 選取錯誤詳細資料底下的 [診斷] 按鈕。 您將回答幾個問題,並識別同步錯誤詳細資料。 解答有助於識別孤立的物件案例。
如果 [關閉] 按鈕出現在診斷結束時,入口網站不會對您的答案做快速修正。 請參閱最後一個步驟中顯示的解決方案。 來自內部部署的修正仍然是解決方案。 選取 [關閉] 按鈕。 目前同步處理錯誤的狀態會切換至 [需要手動修正]。 狀態會在目前的同步處理週期期間內保持。
識別孤立的物件案例之後,您可以直接從入口網站修正重複的屬性同步處理錯誤。 若要觸發程式,請選取 [套用修正] 按鈕。 目前同步處理錯誤的狀態更新至 [同步處理擱置中]。
在下一個同步處理週期之後,錯誤應該從清單中移除。