ניהול מתקדם בתצורת היברידית Azure AD Connect Health
אם אתם אחראים על ניהול סביבת Azure AD וניהול סביבת Active Directory המאמר הבא והראשון בסדרה מתאר את היכולות של כלי Azure AD Connect Health לניהול מתקדם של סביבת AAD Connect.
מהי הדרך היעילה לנטר ולנהל את הסנכרון מול שירות Azure AD? האם זה רכיב מנוהל ומנוטר בארגון שלך? בפועל אצל רוב הארגונים לאחר הקמה של AAD Connect אין תחזוקה, עדכונים וניהול של AAD Connect עד שיש בעיה.
אומנם רכיב AAD Connect הוא רכיב יציב שאינו נופל או רכיב שגורם לבעיות אך חשוב להדגיש כי הוא רכיב שאחראי על פעולות קריטיות בארגון כדוגמת: סנכרון Password Hash, ביצוע איפוס סיסמאות מתוך הענן, ביצוע SSO ואוטנטיקציה מול הענן ועבודה של שירות ADDS מקומי.
לרוב שמדברים על AAD Connect מזכירים את AAD Connect כרכיב של סנכרון אובייקטים, אך בפועל כאשר ישנו AAD Connect חשוב להדגיש כי הוא יכול להיות מוגדר בתצורה הבאה:
- ADFS
- Sync
מכיוון שניתן להשתמש ברכיב AAD Connect לשימוש שונה בכל ארגון בין אם סנכרון אובייקטים בלבד או סנכרון אובייקטים עם SSO או לחלופין סנכרון אובייקטים ועבודה מול Identity Provider צד שלישי אנו צריכים לוודא תקינות ובריאות של הרכיבים ולוודא קישוריות מול הענן בכל רגע נתון.
מהו Azure AD Connect Health
כידוע החיבור של סביבת On-Prem מול הענן מביא עמו אפשרויות מתקדמות ופרודוקטיביות למשתמשי הקצה של סנכרון סיסמאות או איפוס סיסמא מתוך הענן אך יחד עם זאת מגיעה האחריות לוודא שכל התשתית ורכיבי הרשת הקשורים בניהול זהויות תקינים ובריאים ומאפשרים גישה למשאבים השונים בסביבה המקומית ובענן.
במצבים בהם אנו רוצים לנהל ולנטר את פעילות הסנכרון והאוטנטיקציה של AAD Connect אנו עובדים עם כלי Azure AD Connect Health.
אז מהו בכלל כלי Azure AD Connect Health? רכיב Azure AD Connect Health הוא כלי מבוסס ענן ומטרתו היא לבצע ניהול, ניטור, בדיקת בריאות וקבלת מידע מתקדם (insight) של זהויות מתוך הסביבה שמרכיבה את האינטגרציה של AAD Connect בין אם זה שרתי ADDS, יכולות Sync או Federation והקישוריות מול Azure AD.
בנוסף כלי Azure AD Connect Health מאפשר לנו לקבל מידע לגבי זהויות של צריכה ושימוש ומידע נקודתי אודות פעולות של זהות וגישה אצל משתמשי קצה.
מכיוון שהסביבה המקומית שלנו עלולה להיות סביבה הטרוגנית כלי Azure AD Connect Health מאפשר לנטר, לדגום ולבדוק את בריאות המערכות הבאות:
- שרתי DC’s (רק כאשר ישנו שימוש עם Sync\ADFS)
- שרתי ADFS
- שרתי Sync
AADC Health לסביבת ADDS
כלי Azure AD Connect Health מיועד לשרתי Dc’s מבוססים Windows Server 2008 R2 ומספק את היכולות הבאת:
- בדיקת בריאות השרתים
- ניטור הסביבה החל מתקינות שרתי Dc’s ועד רפליקציות בין שרתים
- התראות החל מקישוריות שרתים ועד סנכרון אובייקטים שונים וסנכרון Password Hash
- פורטל ניהול לביצוע Troubleshootin, ניהול התראות ובעיות וסטטוס של הסביבה
AADC Health לסביבת Sync
בין אם שרתי AAD Connect הסנכרון כוללים שרת אחד או יותר ניתן לבצע ניטור החל מגרסת AAD Connect 1.0.470 ומעלה וניתן לקבל את היכולות הבאות:
- בדיקת בריאות ותקינות של סנכרון מול הענן
- תהראות על בעיות קריטיות
- מידע לגבי אופי הסנכרון (הוספת משתמשים, עדכונים ומחיקת אובייקטים)
- מידע לגבי סנכרון אחרון
- דוחות לגבי סנכרון מול הענן
AADC Health לסביבת ADFS
כלי Azure AD Connect Health מבצע ניטור גם על סביבת שרתי ADFS החל מגרסת Windows Server 2008 R2 ומעלה ומספק מספר יכולות נוספות, כגון:
- בדיקת תקינות בוריאות המערכת
- התראות Email קריטיות
- בדיקת מידע לגבי ביצועים
- ביצוע אנליטיקה לגבי כניסות ושאילתות מול ADFS
- דוחות מערכת לגבי משתמשי קצה, כניסות לא תקינות ועוד
בכל סביבת On-Prem המחוברת לענן ישנם שרתי DC’s ושרתי AAD Connect לסנכרון אובייקטים ולכן אנו נדרשים לוודא את בריאות השרתים.
ניהול ומעקב עם Azure AD Connect Health
כלי Azure AD Connect Health מספק מגוון יכולות לניטור ומעקב אחר בריאות המערכת בפורטל הניהול, האפשרויות בפורטל משקפות מידע שאיננו יכולים לקבל מתוך שרת הסנכרון.
התראות
כלי Azure AD Connect Health מספק בפורטל הניהול ממשק התראות אקטיביות על כל פעולה שנעשית החל מפעולת סנכרון פשוטה, דרך בעיות קישוריות ועד בעיות ביצועים.
המידע שנמצא בהתראות הינו מידע מפורט שכולל:
- זיהוי וזמן הבעיה
- תיאור כללי של הבעיה
- פירוט מעמיק של הבעיה
- פתרון לבעיה
- קישור לפתרון הבעיה
בדוגמא שלפנינו ניתן לראות את תקלת סנכרון עם תיאור מאד מפורט של הבעיה עד לרמת הקונקטור בשרת AAD Connect 
מידע מתקדם
אחת התכונות החשובות והיא מידע מתקדם לגבי הפעולות שמתבצעות מתוך שרת AAD Connect ומספקת מידע לגבי פעולות הסנכרון כדוגמת Import\Export מתוך אותם קונקטורים.
המידע שמתקבל ומוצג בפורטל מאפשר לנו לדעת האם ישנו latnecy בפעולות הסנכרון, לזהות אנומליות בפעולות הסנכרון, לזהות שינויים ואת אופי השינויים שנעשים בנסכרון.
בנוסף לכך ניתן לקבל מידע אודות סנכרון ושינויים שנעשים מול אותם אובייקטים ולקבל סטטיסטיקות, כגון: אובייקטים שהתווספו, אובייקטים שנמחקו אובייקטים שנכשלו וכו’.
במידה ומבצעים עריכה על הדוח ניתן להוסיף מידע על מאפיינים, כגון: DeltaImport, ApplyRules, Export ועוד.
איתור בעיות
כאשר ישנה בעיה בסנכרון אובייקטים לעיתים הדיאגנוסטיקה עלולה להיות לא פשוטה ולכן פורטנל הניהול מאפשר לבצע troubleshooting על בעיות של סנכרון אובייקטים, לדוגמא: סנכרון אובייקט עם ערך כפול.
הפורטל מאפשר זיהוי בעיות מול רכיבים, כגון:
- בעיות אשר נובעות מסנכרון
- בעיות מול קונקטור ספציפי
- בעיות מסוג Export או Import
לסיכום
אם אתם אחראים על ניהול הסנכרון מול שירות Azure AD מומלץ מאד לעבוד עם כלי Azure AD Connect Health על מנת לנהל, לנטר ולוודא תקינות של סביבה היברידית.
